Samas ransomware
Il ransomware Samas (noto anche come "Samsam") esiste dal 2016. Questo ransomware ha ricevuto molta attenzione, dietro incidenti molto pubblicizzati che hanno colpito Allscripts Software Company e la città di Atlanta.
A differenza di altri ransomware prevalenti come WannaCry e NotPetya, Samas non si diffonde utilizzando metodi tradizionali come la consegna di exploit tramite e-mail o l'attacco diretto ai computer vulnerabili. Sebbene gli attori Samas siano noti per attaccare host JBoss vulnerabili, spesso entrano nei sistemi perimetrali esposti, forzando brutalmente RDP e ottenendo con successo l'accesso a macchine con password di amministratore locale deboli o condivise. Quindi si spostano lateralmente utilizzando le credenziali amministrative acquisite.
Samas si distingue per le tecniche di persistenza e movimento laterale tipicamente associate a campagne non ransomware progettate per esfiltrare i dati. Tracciare le transazioni bitcoin rivela che questa campagna è stata incredibilmente redditizia, con molte vittime che hanno pagato un riscatto senza denunciare il crimine.
Sebbene gli attori di Samas siano chiaramente adattabili e pronti a cambiare tattica secondo necessità, sono riusciti a compromettere le loro vittime a causa dell'insufficiente protezione firewall e antivirus e dell'uso di password di amministratore locale non casuali.
Gli attori di Samas iniziano utilizzando server di controllo usa e getta a bassa reputazione per cercare server RDP con punti deboli, come quelli non dietro l'autenticazione a livello di rete (NLA) o un gateway di autenticazione a più fattori (MFA). Quindi forzano forzatamente le password dell'amministratore locale dei server RDP esposti.
Dopo aver ottenuto l'accesso come amministratore locale a un server RDP, gli attori di Samas passano a un server che ha un record pulito con i principali servizi affidabili ed è spesso ospitato da piccoli fornitori commerciali. Usano questo nuovo server per il resto dell'attacco per evitare l'assegnazione e la conseguente interruzione delle loro altre operazioni.
Gli attori di Samas in genere continuano a utilizzare RDP, mappando o condividendo unità locali per portare i propri strumenti nell'ambiente compromesso e persistere. Da quella posizione di partenza, utilizzano strumenti di furto di credenziali come Mimikatz e acquisizione di memoria non elaborata, sfruttando gli account di servizio con privilegi eccessivi, inclusi quelli con privilegi di amministratore di dominio.
Durante un attacco, gli attori Samas in genere ottengono l'accesso a più account, ma non li utilizzano tutti. Gli attori potrebbero riservare intenzionalmente questi account "backdoor" per riottenere l'accesso dopo che le vittime hanno pagato il riscatto e intrapreso sforzi di recupero.
Dopo aver protetto le credenziali privilegiate, gli attori Samas eseguono la scansione della rete interna alla ricerca di altre macchine, utilizzando strumenti standard come Masscan o i propri strumenti personalizzati. Sono noti per eliminare ulteriori backdoor inclusi gli strumenti proxy SOCKS. Sembrano anche sfruttare i server SQL configurati in modo errato e hanno mostrato interesse a compromettere gli account del servizio SQL Server Agent (sqlagent).
Quando si esaminano le query del nome dell'entità servizio (SPN) e le ricerche del nome del server eseguite dagli attori, nonché l'aspetto dei dati estratti, gli attori sembrano cercare dati specifici prima di abbandonare il payload del ransomware. Inoltre, spesso rimangono sulla rete per giorni o addirittura settimane prima di distribuire il ransomware.
La distribuzione del ransomware stesso avviene in più fasi. I ricercatori Microsoft hanno scoperto che i file di test compaiono sui sistemi prima che il ransomware venga rilasciato e lanciato, il che spesso richiede l'interazione diretta dell'attore. Per garantire che il payload del ransomware sia efficace, gli attori cancellano i backup utilizzando le utilità di copia shadow del volume.
I ricercatori Microsoft ritengono che ci siano più individui dietro la campagna Samas, principalmente a causa della variazione degli artefatti di mappatura delle unità RDP e dei comportamenti di attacco durante le diverse fasi della campagna. Abbiamo visto l'attività dell'attore tra le 12:00 e le 18:00 UTC, forse indicando la sua posizione.
Gli attori di Samas sembrano espandersi e utilizzare altre tecnologie ransomware, tra cui Gandcrab Ransomware-as-a-Service e forse Bitpaymer.
Mitigazioni
Applicare queste mitigazioni per ridurre l'impatto di questa minaccia. Controllare la scheda consultiva per lo stato di implementazione delle mitigazioni monitorate.
- Usa Windows Defender Firewall e il firewall di rete per impedire la comunicazione RPC e SMB tra gli endpoint quando possibile. Ciò limita il movimento laterale e altre attività di attacco.
- Proteggi i servizi RDP con connessione Internet dietro un gateway di autenticazione a più fattori (MFA). Se non disponi di un gateway MFA, abilita l'autenticazione a livello di rete (NLA) e assicurati che i computer server dispongano di password di amministratore locale casuali complesse.
- Applica password di amministratore locali forti e casuali. Usa strumenti come LAPS.
- Pratica il principio del privilegio minimo e mantieni l'igiene delle credenziali. Evita di utilizzare account di servizio a livello di amministratore e a livello di dominio.
- Monitora i tentativi di forza bruta. Verificare la presenza di un numero eccessivo di tentativi di autenticazione non riusciti (ID evento di sicurezza di Windows 4625).
- Comprendere e controllare l'esposizione perimetrale. Gli attacchi Samas spesso iniziano con macchine che non si trovano nell'inventario delle risorse ma sono ancora membri del dominio Active Directory primario e spesso hanno password di amministratore locale corrispondenti o account di servizio con credenziali di dominio con privilegi elevati che vi accedono.
- Abilita la protezione fornita dal cloud e l'invio automatico di campioni in Windows Defender Antivirus. Queste funzionalità utilizzano l'intelligenza artificiale e l'apprendimento automatico per identificare e bloccare rapidamente minacce nuove e sconosciute.
Felipe Perin
Especialista em Segurança da Informação, Entusiasta em Software Livre, Palestrante e Consultor em Preservação de Acervos. Com expertise em SIEM, Pentest, Hardening, Honeypot, WAF - Web Application Firewall, ISO 27001, SDL - Secure Development Lyfecicle, e-GOV, e-PING (Padrão de Interoperabilidade), e-MAG (Padrão de Acessibilidade), e-PWG (Administração, Codificação, Redação Web e Usabilidade), 5S, Archivematica, Atom2 - Access to Memory, OJS - Open Journal System, Virtualização, Scan de Vulnerabilidades, Data Protection Office ou Encarregado de Proteção de Dados, Monitoramento de Ativos, Backup, Resposta à Incidentes de Segurança, Gestão de Risco e Conformidade, Software Livre, Log Management, Offshore Surveyor e Projetos Ecos sustentáveis (TI-VERDE)