El ransomware Samas (también conocido como "Samsam") existe desde 2016. Este ransomware ha recibido mucha atención, detrás de incidentes muy publicitados que afectan a Allscripts Software Company y la ciudad de Atlanta.

A diferencia de otros ransomware predominantes como WannaCry y NotPetya, Samas no se propaga utilizando métodos tradicionales como la entrega de exploits de correo electrónico o atacando directamente a las computadoras vulnerables. Si bien se sabe que los actores de Samas atacan hosts JBoss vulnerables, a menudo ingresan a sistemas perimetrales expuestos, forzando brutalmente el RDP y obteniendo acceso con éxito a máquinas con contraseñas de administrador locales débiles o compartidas. Luego se mueven lateralmente utilizando las credenciales administrativas capturadas.

Samas se destaca por las técnicas de persistencia y movimiento lateral típicamente asociadas con campañas que no son de ransomware diseñadas para exfiltrar datos. El seguimiento de las transacciones de bitcoin revela que esta campaña ha sido increíblemente rentable, con muchas víctimas pagando un rescate sin denunciar el delito.

Si bien los actores de Samas son claramente adaptables y están listos para cambiar de táctica según sea necesario, lograron comprometer a sus víctimas debido a la protección antivirus y de firewall insuficiente y al uso de contraseñas de administrador local no aleatorias.

Los actores de Samas comienzan usando servidores de verificación desechables y de baja reputación para buscar servidores RDP con puntos débiles, como aquellos que no están detrás de la autenticación a nivel de red (NLA) o una puerta de enlace de autenticación multifactor (MFA). Luego fuerzan a la fuerza las contraseñas de administrador local de los servidores RDP expuestos.

Después de obtener acceso de administrador local a un servidor RDP, los actores de Samas cambian a un servidor que tiene un registro limpio con los principales servicios de buena reputación y, a menudo, está alojado por pequeños proveedores comerciales. Utilizan este nuevo servidor durante el resto del ataque para evitar la asignación y la consiguiente interrupción de sus otras operaciones.

Los actores de Samas generalmente continúan usando RDP, mapeando o compartiendo unidades locales para llevar sus herramientas al entorno comprometido y persistir. Desde esa posición inicial, utilizan herramientas de robo de credenciales como Mimikatz y captura de memoria sin formato, aprovechando las cuentas de servicio con privilegios excesivos, incluidas aquellas con privilegios de administrador de dominio.

Durante un ataque, los actores de Samas generalmente obtienen acceso a varias cuentas, pero no las usan todas. Los actores pueden estar reservando intencionalmente estas cuentas de "puerta trasera" para recuperar el acceso después de que las víctimas hayan pagado el rescate y hayan emprendido los esfuerzos de recuperación.

Después de asegurar las credenciales privilegiadas, los actores de Samas escanean la red interna en busca de otras máquinas, utilizando herramientas listas para usar como Masscan, o sus propias herramientas personalizadas. Se sabe que eliminan puertas traseras adicionales, incluidas las herramientas de proxy SOCKS. También parecen aprovechar los servidores SQL mal configurados y han mostrado interés en comprometer las cuentas de servicio del Agente SQL Server (sqlagent).

Al examinar las consultas de nombre principal de servicio (SPN) y las búsquedas de nombre de servidor realizadas por los actores, así como la apariencia de los datos extraídos, los actores parecen buscar datos específicos antes de abandonar su carga útil de ransomware. También suelen permanecer en la red durante días o incluso semanas antes de implementar el ransomware.

La implementación del ransomware en sí se realiza en fases. Los investigadores de Microsoft han descubierto archivos de prueba que aparecen en los sistemas antes de que se elimine y ejecute el ransomware, lo que a menudo requiere la interacción directa del actor. Para garantizar que la carga útil del ransomware sea efectiva, los actores borran las copias de seguridad utilizando las utilidades de instantáneas de volumen.

Los investigadores de Microsoft creen que hay varias personas detrás de la campaña Samas, principalmente debido a la variación en los artefactos de mapeo de unidades RDP y los comportamientos de ataque durante las diferentes etapas de la campaña. Vimos la actividad del actor entre las 12:00 y las 18:00 UTC, lo que posiblemente indique su ubicación.

Los actores de Samas parecen estar expandiéndose y utilizando otras tecnologías de ransomware, incluido Gandcrab Ransomware-as-a-Service y posiblemente Bitpaymer.

Mitigaciones
Aplique estas mitigaciones para reducir el impacto de esta amenaza. Consulte la tarjeta de aviso para conocer el estado de implementación de las mitigaciones monitoreadas.

• Use el Firewall de Windows Defender y el firewall de la red para evitar la comunicación RPC y SMB entre puntos finales siempre que sea posible. Esto limita el movimiento lateral, así como otras actividades de ataque.
• Asegure los servicios RDP orientados a Internet detrás de una puerta de enlace de autenticación multifactor (MFA). Si no tiene una puerta de enlace MFA, habilite la autenticación de nivel de red (NLA) y asegúrese de que las máquinas del servidor tengan contraseñas seguras de administrador local aleatorias.
• Aplique contraseñas de administrador local seguras y aleatorias. Utilice herramientas como LAPS.
• Practique el principio de privilegio mínimo y mantenga la higiene de las credenciales. Evite el uso de cuentas de servicio de nivel de administrador para todo el dominio.
• Supervise los intentos de fuerza bruta. Compruebe si hay intentos de autenticación fallidos excesivos (Id. de evento de seguridad de Windows 4625).
• Comprender y controlar la exposición del perímetro. Los ataques de Samas a menudo comienzan con máquinas que no están en el inventario de activos pero que aún son miembros del dominio principal de Active Directory y, a menudo, tienen contraseñas de administrador local o cuentas de servicio coincidentes con credenciales de dominio altamente privilegiadas que inician sesión en ellas.
• Habilite la protección en la nube y el envío automático de muestras en Windows Defender Antivirus. Estas capacidades utilizan inteligencia artificial y aprendizaje automático para identificar y detener rápidamente amenazas nuevas y desconocidas.