SamSam continua sus taquees cibernéticos a organizaciones de salud y gobierno

Por: Kimberly Goody, gerente de análisis de cibercrimen en FireEye

Ciudad de México, 2 de diciembre de 2018. “FireEye ha seguido la actividad de SamSam desde finales de 2015, que ha impactado organizaciones a lo largo de muchas industrias verticales. Notablemente, la acusación destaca numerosas organizaciones de salud y gobierno que han sido atacadas. Es posible que los operadores elijan como objetivo estas organizaciones ya que proveen servicios críticos y creen que la probabilidad de que paguen es más alta como resultado.

Una de las desviaciones más severas entre las operaciones de SamSam y el ransomware tradicional, es la desviación de los vectores de infección más tradicionales. Si bien se sigue confiando mucho en los objetivos indiscriminados por otros actores para reforzar la escalabilidad operacional, ha habido un número cada vez mayor de actores de amenazas relacionados activamente en más ataques dirigidos en los que el despliegue del ransomware se implementa después del compromiso. En nuestras investigaciones de SamSam hemos observado actividad consistente con eso, que está destacado en la acusación, incluyendo la explotación de servidores externos así como actualizaciones en el tiempo de los vectores de su infección inicial. Desplegar el ransomware post-compromiso también permite a los atacantes la habilidad de entender mejor los ambientes de la víctima y desplegar tanto pagos del ransomware más ampliamente, como identificar sistemas de gran valor – poniendo presión adicional en las organizaciones para que paguen.

Es también importante destacar que, mientras los actores nombrados en la acusación están asociados con el ransomware SamSam, esto puede ser su operación más lucrativa. Tenemos alguna evidencia que sugiere que estaban investigando la posibilidad de robar datos de tarjetas de pago y hemos visto también el despliegue de minería de criptomonedas en los ambientes de la víctima. El impacto que estas acusaciones tendrán no está claro, ya que los individuos están supuestamente ubicados en Irán y están en libertad.”

Deja un comentario