Logo ImpresaCity.it

Sophos: tutti i segreti del ransomware da 6 milioni di dollari

SamSam, la minaccia che da tre anni colpisce utenti privati in tutto il mondo studiata insieme a un’azienda italiana esperta in analisi di cryptovalute

Redazione Impresacity

Il ransomware SamSam, che dal 2015 miete vittime in tutto il mondo, ha colpito molti più utenti e raccolto più riscatti di quanto si pensasse finora, per un totale quasi di 6 milioni di dollari. Questi dati sono emersi da una nuova e dettagliata ricerca di Sophos che, attraverso analisi, interviste e ricerche approfondite, hanno scoperto nuovi dettagli sull’utilizzo di SamSam da parte dei cybercriminali, sulle vittime e su come questo ransomware si stia evolvendo.

Ma c’è anche un po’ di Italia dietro le quinte di queste importanti scoperte: tra i partner che hanno affiancato Sophos, c’è infatti anche Neutrino, società tutta italiana specializzata nell’analytics e data intelligence su Bitcoin e le altre principali cryptovalute.

Dalle analisi è emerso che SamSam, a differenza dalla maggior parte dei ransomware che vengono diffusi attraverso campagne spam di vaste dimensioni, viene utilizzato con attacchi personalizzati da un team o da un individuo esperto che irrompe nella rete della vittima, la analizza e poi esegue il malware manualmente. Gli attacchi sono su misura per causare il massimo danno, mentre le richieste di riscatto sono nell’ordine delle decine di migliaia di dollari.

Non solo: dato che SamSam viene utilizzato con parsimonia dagli hacker rispetto ad altri tipi di ransomware, i dettagli su come si svolgono gli attacchi sono stati difficili da identificare e da analizzare, nonostante la sua prima apparizione risalga a quasi tre anni fa, ovvero nel dicembre 2015. La ricerca Sophos ha svelato una serie di nuove informazioni tecniche tra cui nuovi dettagli su come SamSam analizzi le reti delle vittime e crei l'elenco delle macchine che verranno criptate.

Forse le informazioni più interessanti sono relative alla diffusione: a differenza di WannaCry, che ha sfruttato una vulnerabilità del software per copiarsi su nuove macchine, SamSam è in realtà distribuito sui computer del network della vittima allo stesso modo, e con gli stessi strumenti, di applicazioni software legittime.

sophos samsam
Sulla base delle vittime conosciute, era stato finora ampiamente ipotizzato che gli attacchi di SamSam fossero diretti specificamente ai settori della Sanità, del settore Pubblico e dell'Istruzione, ma Sophos, grazie alla collaborazione con Neutrino, ha letteralmente “seguito” i soldi e ha identificato molti pagamenti di riscatto e tipologie di vittime che prima erano sconosciute: sembra che l’ambito privato sia quello che ha subito più attacchi di questo tipo, anche se le vittime sono state particolarmente riluttanti nel farsi avanti. La scia di denaro seguita da Sophos e Neutrino ha inoltre rivelato che i pagamenti dei riscatti ammontano a quasi 6 milioni di dollari, circa sei volte più delle stime più recenti.

Grazie ai dati emersi, Sophos è adesso in grado di offrire anche una migliore protezione e consulenza per il disaster recovery. Grazie a una migliore comprensione del modo in cui SamSam prende di mira i file nel sistema operativo della vittima, Sophos ora avverte che il backup dei dati aziendali non è più sufficiente. Per riprendersi rapidamente da un attacco SamSam, le aziende hanno bisogno di qualcosa di più di un piano per il ripristino dei dati: hanno bisogno di un piano completo per la ricostruzione delle macchine. Infine, la migliore difesa contro SamSam è quella di adottare un approccio stratificato e approfondito alla sicurezza.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.
Pubblicato il: 27/08/2018

Speciali

speciali

Check Point Experience, il futuro della cybersecurity è servito

speciali

Red Hat Open Source Day 2018, l’open source ridisegna il mondo