4 dicas simples para melhorar sua proteção contra Ransomware SamSam.
Ransomware SamSam – Embora a maior parte dos danos causados pelo ransomware seja feito em ataques aleatórios, não definidos, usando softwares como o Locky e o GlobaImposter, ataques direcionados e devastadores estão em ascensão.
Em um ataque direcionado, bandidos escolhem uma organização vulnerável e adaptam sua abordagem para causar danos e interrupções máximas.
Trabalhando dessa maneira, os bandidos são capazes de minimizar sua exposição enquanto extorquem altos valores de resgate.
Uma ferramenta popular para hackers que trabalham dessa maneira é o Ransomware SamSam, também conhecido como Samas.
Os ataques do SamSam são relativamente raros e parecem estar focados nos setores de saúde, governo e educação.
Não há dois ataques iguais, embora haja elementos comuns entre eles. As demandas de configuração e resgate do software SamSam variam de uma vítima para outra e as demandas de resgate são de até US$ 60.000.
Os endereços de bitcoin associados ao SamSam receberam mais de US$ 1 milhão em pagamentos de resgate neste ano.
Por causa da natureza dos ataques, detalhes precisos são escassos. O SophosLabs vem investigando os recentes ataques e descobriu novas informações sobre como o ransomware evoluiu nos últimos meses.
Para mais detalhes, veja nosso whitepaper e saiba como o Ransomware SamSam escolhe seus alvos cuidadosamente.
Fique protegido contra o Ransomware SamSam
Embora a abordagem dos hackers varie de alvo para alvo, atacando suas fraquezas específicas, existem tópicos comuns que merecem atenção especial:
- Tranque a porta
Os ataques do SamSam geralmente começam com os invasores explorando senhas fracas em contas RDP, portanto:
- Se você não precisa de RDP, desligue-o.
- Certifique-se de que os usuários tenham senhas fortes.
- Ative a autenticação de dois fatores (2FA), sempre que puder.
- Aceite apenas conexões RDP de computadores autorizados.
- Defina uma política de bloqueio para limitar a taxa na qual as senhas podem ser tentadas.
- Corrigir qualquer vazamento
Acredita-se que os invasores do SamSam tenham entrado nas redes de alvos explorando as vulnerabilidades de desserialização do Java e os sistemas JBoss sem patches, usando vulnerabilidades como: CVE-2010-0738, CVE-2012-0874 e CVE-2010-1428.
É sensato supor que os hackers do SamSam explorarão qualquer vulnerabilidade voltada para o público que atenda aos seus propósitos, portanto, essa não é uma lista exclusiva – O conselho usual sobre como se manter em dia com os patches se aplica neste caso.
- Mantenha as coisas limpas e arrumadas
Se um invasor obtiver acesso à sua rede, interromper o ataque raramente é uma simples questão de detectar um único arquivo obviamente malicioso.
Muitas das ferramentas usadas nos ataques do SamSam são usadas precisamente porque são partes legítimas do software que já estão na sua rede, como o PsExec, Powershell, WScript ou CScript.
Se você é um cliente Sophos, pode usar o Controle de aplicativos para configurar o acesso da sua organização a aplicativos legítimos, garantindo, por exemplo, que os administradores que precisam do Powershell tenham acesso a eles e que os usuários normais não.
O SamSam foi visto usando o PsExec para ajudá-lo a se espalhar pelas redes. Por padrão, o PsExec é detectado pelos nossos produtos como um Aplicativo Potencialmente Indesejado (PUA) e será bloqueado.
Os administradores devem garantir que a verificação de PUA esteja ativada e que o PsExec não tenha sido adicionado à lista autorizada.
Se você precisar usar o PsExec, poderá autorizá-lo apenas para os usuários que precisam dele e depois revogar essa autorização quando terminar.
- Consiga um bom cão de guarda (ou até dois)
Cada camada de segurança que você tem é projetada para um tipo diferente de ameaça e uma estratégia de defesa em profundidade que emprega várias camadas de proteção sobrepostas é, como sempre, a melhor abordagem de proteção.
O Sophos Central Endpoint protege seu ambiente contra versões atuais do SamSam como Troj / Samas-F, Troj / RansRun-A e Mal / Kryptik-BV.
Já os clientes com Intercept X ou Exploit Prevention são protegidos contra SamSam pela nossa proteção anti-ransomware CryptoGuard.
Para clientes com licenças avançadas do Central Server, o Server Lockdown (allowlisting) pode ser implantado para proteger seus servidores contra alterações não autorizadas.
Os clientes que usam o Sophos Central em combinação com o XG Firewall podem usar o recurso Security Heartbeat ™, que permite que seus endpoints se comuniquem com seu firewall para criar políticas que isolam automaticamente uma máquina se uma detecção for relatada, contendo rapidamente qualquer ameaça.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso Grupo LinkedIn.
Leia também: Proteção de Dados – Aqui estão as maiores ameaças de segurança cibernética a serem observadas em 2018.