Sophos: tutti i segreti del ransomware da 6 milioni di dollari
SamSam, la minaccia che da tre anni colpisce utenti privati in tutto il mondo studiata insieme a un’azienda italiana esperta in analisi di cryptovalute
Il ransomware SamSam, che dal 2015 miete vittime in tutto il mondo, ha colpito molti più utenti e raccolto più riscatti di quanto si pensasse finora, per un totale quasi di 6 milioni di dollari. Questi dati sono emersi da una nuova e dettagliata ricerca di Sophos che, attraverso analisi, interviste e ricerche approfondite, hanno scoperto nuovi dettagli sull’utilizzo di SamSam da parte dei cybercriminali, sulle vittime e su come questo ransomware si stia evolvendo.
Ma c’è anche un po’ di Italia dietro le quinte di queste importanti scoperte: tra i partner che hanno affiancato Sophos, c’è infatti anche Neutrino, società tutta italiana specializzata nell’analytics e data intelligence su Bitcoin e le altre principali cryptovalute.
Dalle analisi è emerso che SamSam, a differenza dalla maggior parte dei ransomware che vengono diffusi attraverso campagne spam di vaste dimensioni, viene utilizzato con attacchi personalizzati da un team o da un individuo esperto che irrompe nella rete della vittima, la analizza e poi esegue il malware manualmente. Gli attacchi sono su misura per causare il massimo danno, mentre le richieste di riscatto sono nell’ordine delle decine di migliaia di dollari.
Non solo: dato che SamSam viene utilizzato con parsimonia dagli hacker rispetto ad altri tipi di ransomware, i dettagli su come si svolgono gli attacchi sono stati difficili da identificare e da analizzare, nonostante la sua prima apparizione risalga a quasi tre anni fa, ovvero nel dicembre 2015. La ricerca Sophos ha svelato una serie di nuove informazioni tecniche tra cui nuovi dettagli su come SamSam analizzi le reti delle vittime e crei l'elenco delle macchine che verranno criptate.
Forse le informazioni più interessanti sono relative alla diffusione: a differenza di WannaCry, che ha sfruttato una vulnerabilità del software per copiarsi su nuove macchine, SamSam è in realtà distribuito sui computer del network della vittima allo stesso modo, e con gli stessi strumenti, di applicazioni software legittime.
Sulla base delle vittime conosciute, era stato finora ampiamente ipotizzato che gli attacchi di SamSam fossero diretti specificamente ai settori della Sanità, del settore Pubblico e dell'Istruzione, ma Sophos, grazie alla collaborazione con Neutrino, ha letteralmente “seguito” i soldi e ha identificato molti pagamenti di riscatto e tipologie di vittime che prima erano sconosciute: sembra che l’ambito privato sia quello che ha subito più attacchi di questo tipo, anche se le vittime sono state particolarmente riluttanti nel farsi avanti. La scia di denaro seguita da Sophos e Neutrino ha inoltre rivelato che i pagamenti dei riscatti ammontano a quasi 6 milioni di dollari, circa sei volte più delle stime più recenti.
Grazie ai dati emersi, Sophos è adesso in grado di offrire anche una migliore protezione e consulenza per il disaster recovery. Grazie a una migliore comprensione del modo in cui SamSam prende di mira i file nel sistema operativo della vittima, Sophos ora avverte che il backup dei dati aziendali non è più sufficiente. Per riprendersi rapidamente da un attacco SamSam, le aziende hanno bisogno di qualcosa di più di un piano per il ripristino dei dati: hanno bisogno di un piano completo per la ricostruzione delle macchine. Infine, la migliore difesa contro SamSam è quella di adottare un approccio stratificato e approfondito alla sicurezza.
Ma c’è anche un po’ di Italia dietro le quinte di queste importanti scoperte: tra i partner che hanno affiancato Sophos, c’è infatti anche Neutrino, società tutta italiana specializzata nell’analytics e data intelligence su Bitcoin e le altre principali cryptovalute.
Dalle analisi è emerso che SamSam, a differenza dalla maggior parte dei ransomware che vengono diffusi attraverso campagne spam di vaste dimensioni, viene utilizzato con attacchi personalizzati da un team o da un individuo esperto che irrompe nella rete della vittima, la analizza e poi esegue il malware manualmente. Gli attacchi sono su misura per causare il massimo danno, mentre le richieste di riscatto sono nell’ordine delle decine di migliaia di dollari.
Non solo: dato che SamSam viene utilizzato con parsimonia dagli hacker rispetto ad altri tipi di ransomware, i dettagli su come si svolgono gli attacchi sono stati difficili da identificare e da analizzare, nonostante la sua prima apparizione risalga a quasi tre anni fa, ovvero nel dicembre 2015. La ricerca Sophos ha svelato una serie di nuove informazioni tecniche tra cui nuovi dettagli su come SamSam analizzi le reti delle vittime e crei l'elenco delle macchine che verranno criptate.
Forse le informazioni più interessanti sono relative alla diffusione: a differenza di WannaCry, che ha sfruttato una vulnerabilità del software per copiarsi su nuove macchine, SamSam è in realtà distribuito sui computer del network della vittima allo stesso modo, e con gli stessi strumenti, di applicazioni software legittime.
Sulla base delle vittime conosciute, era stato finora ampiamente ipotizzato che gli attacchi di SamSam fossero diretti specificamente ai settori della Sanità, del settore Pubblico e dell'Istruzione, ma Sophos, grazie alla collaborazione con Neutrino, ha letteralmente “seguito” i soldi e ha identificato molti pagamenti di riscatto e tipologie di vittime che prima erano sconosciute: sembra che l’ambito privato sia quello che ha subito più attacchi di questo tipo, anche se le vittime sono state particolarmente riluttanti nel farsi avanti. La scia di denaro seguita da Sophos e Neutrino ha inoltre rivelato che i pagamenti dei riscatti ammontano a quasi 6 milioni di dollari, circa sei volte più delle stime più recenti.
Grazie ai dati emersi, Sophos è adesso in grado di offrire anche una migliore protezione e consulenza per il disaster recovery. Grazie a una migliore comprensione del modo in cui SamSam prende di mira i file nel sistema operativo della vittima, Sophos ora avverte che il backup dei dati aziendali non è più sufficiente. Per riprendersi rapidamente da un attacco SamSam, le aziende hanno bisogno di qualcosa di più di un piano per il ripristino dei dati: hanno bisogno di un piano completo per la ricostruzione delle macchine. Infine, la migliore difesa contro SamSam è quella di adottare un approccio stratificato e approfondito alla sicurezza.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
Magazine Tutti i numeri
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
