SamSam: il ransomware che colpisce le infrastrutture critiche

Scopri come il ransomware SamSam ha colpito infrastrutture critiche e le migliori pratiche per proteggersi.

Il mercato dei ransomware ha raggiunto livelli di attività e pericolosità senza precedenti. L’espansione incontrollata delle connessioni digitali, l’aumento esponenziale dei dispositivi connessi e la crescente diffusione delle criptovalute, hanno reso gli attacchi sempre più mirati e redditizi per i cybercriminali. Questa evoluzione ha trasformato il ransomware in uno degli strumenti più efficaci per estorcere denaro a istituzioni pubbliche, aziende e utenti privati.

Cos’è SamSam Ransomware?
Come funziona il ransomware SamSam?
Vittime accertate di SamSam
Best practices contro SamSam e ransomware simili

Tra gli esponenti più insidiosi, spicca SamSam, una minaccia che si distingue per il suo approccio manuale e mirato. A differenza dei suoi illustri colleghi, questo ransomware viene impiegato in attacchi altamente strategici, con una fase di ricognizione e analisi preventiva delle vulnerabilità della vittima. Una volta infiltrato, può compromettere intere infrastrutture IT, bloccando operazioni critiche e causando danni economici che ammontano a milioni di dollari.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è SamSam Ransomware?

SamSam è un ransomware attivo sulla scena cybercriminale da almeno un decennio. Identificato anche come MSIL/Samas.A, è stato rilevato per la prima volta nel 2016, quando ha colpito infrastrutture critiche, aziende private e istituzioni pubbliche attraverso attacchi mirati. A differenza di molti ransomware diffusi tramite phishing, o exploit automatizzati, SamSam viene distribuito manualmente dagli attaccanti, che individuano vulnerabilità nei sistemi target prima di eseguire il payload dannoso. Una volta ottenuto l’accesso iniziale, i cybercriminali eseguono movimenti laterali all’interno della rete, identificano asset critici e avviano il processo di crittografia, paralizzando intere infrastrutture IT.

Attribuito ai criminali iraniani, Ali Khorashadizadeh e Mohammad Ghorbaniyan, SamSam ha causato danni economici multimilionari principalmente negli Stati Uniti, colpendo ospedali, università, enti governativi e aziende private. Le richieste di riscatto partono da 50.000 dollari in Bitcoin, ma per organizzazioni di grandi dimensioni possono anche raggiungere cifre a sei zeri. Un’indagine dell’FBI del 2018 ha portato all’incriminazione di alcuni membri del gruppo responsabile, ma il ransomware è tutt’oggi una minaccia per le organizzazioni con difese inadeguate.

L’efficacia di SamSam risiede nella sua capacità di eludere le soluzioni di sicurezza tradizionali e nell’approccio tattico con cui viene distribuito. Gli attacchi vengono pianificati con precisione e spesso sfruttano il Remote Desktop Protocol (RDP) esposto pubblicamente. Questo modus operandi consente ai criminali di massimizzare il danno prima di lanciare la richiesta di riscatto, aumentando la probabilità che la vittima sia costretta a pagare per ripristinare l’accesso ai propri sistemi.

Come funziona il ransomware SamSam?

SamSam è un ransomware sviluppato interamente in .NET, un elemento che lo rende particolarmente adatto a colpire sistemi operativi Windows. A differenza di altre famiglie di ransomware, SamSam non si diffonde tramite phishing o exploit automatici, ma viene eseguito direttamente dai cybercriminali dopo aver ottenuto l’accesso alla rete della vittima.

Il processo di attacco inizia con la compromissione di un sistema esposto su Internet, spesso sfruttando vulnerabilità intrinseche al Remote Desktop Protocol, o server con software non aggiornato. Gli attaccanti utilizzano tecniche di brute force per violare credenziali deboli, o sfruttano falle note per ottenere un entry point. Garantitosi l’accesso iniziale, eseguono una privilege escalation, elevando i propri privilegi fino a ottenere il controllo amministrativo del sistema compromesso. Da qui, effetuano una serie di movimenti laterali nella rete aziendale, identificando server critici, database e file critici.

Per massimizzare l’efficacia dell’attacco, SamSam viene distribuito manualmente su più macchine contemporaneamente, garantendo il massimo impatto sull’infrastruttura colpita. Gli attori malevoli disabilitano sistemi di sicurezza, come firewall e antivirus, per evitare rilevamenti e interrompere eventuali misure di protezione attive. A questo punto, il ransomware viene eseguito e avvia una scansione approfondita dei drive locali e delle unità di rete, per poi criptare i file reputati critici.

Il processo di crittografia impiega due tipi di algoritmi. L’AES-256 in modalità CTR (cifrario a blocchi) viene usato sui file della vittima, mentre la chiave privata viene criptata con RSA-2048. La misura, assolutamente non nuova nel panorama dei ransomware, ha lo scopo di prevenire il recupero dei dati criptati senza la chiave di decriptazione in possesso dei criminali.

Quindi, SamSam appende ai file crittografati una delle seguenti estensioni:

.samsam;
.berkshire;
.stubbin;
.sophos;

A processo ultimato, il ransomware rilascia una ransom note contenente le istruzioni per il pagamento del riscatto. Esso è solitamente richiesto in Bitcoin, con importi variabili a seconda delle dimensioni dell’organizzazione colpita. A differenza di altri ransomware, SamSam non imposta un timer per il pagamento immediato, ma gli attaccanti possono negoziare direttamente con la vittima, in modo da stabilire le condizioni per il rilascio della chiave di decriptazione.

Vittime accertate di SamSam

Come detto in fase di introduzione, SamSam ha colpito numerose organizzazioni. In particolare, i suoi attacchi hanno preso di mira infrastrutture pubbliche, enti governativi e aziende del settore sanitario. Vediamo nel dettaglio alcuni tra i suoi attacchi più noti e dagli impatti maggiori.

Città di Atlanta e Colorado Department of Transportation

Tra gli attacchi più significativi registrati dal ransomware, si cita quello contro la città di Atlanta, avvenuto nel marzo 2018. Il ransomware ha paralizzato quasi 8.000 dispositivi municipali, compromettendo servizi essenziali, tra cui tribunali, sistemi di pagamento delle bollette e operazioni della polizia. Sebbene il riscatto richiesto fosse relativamente modesto, circa 52.000 dollari in Bitcoin, il costo totale del ripristino è stato ben più alto: oltre 17 milioni di dollari.

Un altro attacco degno di nota è stato quello rivolto al Colorado Department of Transportation. Registrato nel febbraio 2018, SamSam ha costretto l’ente statunitense a spegnere oltre 2.000 computer, pur di contenere la minaccia. L’interruzione ha avuto un impatto diretto sulle operazioni amministrative, a tal punto che i dipendenti hanno dovuto temporaneamente far ricorso ai vecchi metodi cartacei, pur di garantire l’erogazione dei servizi ai cittadini.

Settore sanitario

Il settore sanitario è stato uno dei principalmente colpiti da SamSam. Uno degli episodi più critici mai documentati, è quello dell’Hancock Health Hospital, in Indiana. Avvenuto nel gennaio 2018, gli aggressori si sono serviti del ransomware per criptare i file dei server ospedalieri. Il riscatto richiesto ammontava all’equivalente di 55.000 dollari in Bitcoin, che l’ospedale ha deciso di pagare, pur di ripristinare rapidamente i propri sistemi.

Episodi simili si sono verificati nello stesso periodo anche in altre strutture sanitarie, come il MedStar Health di Washington D.C.,. In questo caso, gli attaccanti sono stati in grado di esfiltrare oltre 1400 file critici, rinominando beffardamente le copie criptate in I’m sorry. La somma richiesta è stata molto più alta rispetto ad altri attacchi: ben 300.000 dollari in Bitcoin. Anche in questo caso, l’ospedale della capitale statunitense si è visto costretto a pagare il riscatto.

Best practice contro SamSam e ransomware simili

Prevedere un attacco da parte di un ransomware come SamSam è quasi impossibile. Tuttavia, esistono diverse best practice che le organizzazioni possono adottare per ridurre il rischio di infezione e difendersi efficacemente.

Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza.
Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.
Implementare un piano di monitoraggio degli endpoint affidabile.
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.
Effettuare un backup del database e dei propri servizi online.
Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.

In conclusione

La minaccia rappresentata dal ransomware SamSam continua a suscitare preoccupazioni concrete. Nonostante gli sforzi delle autorità per smantellare i gruppi che se ne servono, la sua capacità di penetrare reti vulnerabili lo rende ancora pericoloso. In questo contesto, la protezione delle proprie risorse digitali non dipende tanto dalle tecnologie a nostra disposizione, ma dall’uso che ne facciamo. È fondamentale mantenere una costante vigilanza, aggiornare i sistemi e adottare buone pratiche di sicurezza, come l’uso di credenziali robuste e l’attivazione dell’autenticazione a più fattori.

Solo così potremo ridurre i rischi e evitare che i cybercriminali abbiano successo. L’imperativo di non abbassare mai la guardia è sempre valido. La sicurezza informatica è una responsabilità che riguarda ciascuno di noi.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.