Ransomware

Waarschuwing: SamSam ransomware

- 6 December 2018

De laatste dagen komt steeds meer informatie naar buiten over de SamSam ransomware aanvallen, die de afgelopen maanden veel slachtoffers hebben gemaakt. Via deze weg willen wij u informeren over de dreiging en over de mogelijke mitigaties.

This is a TLP: WHITE message
https://www.us-cert.gov/tlp
English follows Dutch

SamSam ransomware: beschrijving

SamSam ransomware wordt gebruikt door een onbekende groep die financieel gemotiveerd is, en al sinds ongeveer 2015 actief is. Een bekende aanval is de aanval bij de Amerikaanse stad Atlanta eerder dit jaar [2]. Aanvallen met ransomware zijn meestal gericht op het maken van zoveel mogelijk slachtoffers, en werden vooral automatisch uitgevoerd met behulp van bekende kwetsbaarheden. SamSam onderscheidt zich hierin echter omdat de aanvallen gericht worden uitgevoerd. De aanvallers zoeken naar gaten in de beveiliging, en gaan daarna zelf actief op zoek naar de meest belangrijke informatie die bij de klant staat. Ze zoeken bijvoorbeeld naar backups, en verwijderen deze om ervoor te zorgen dat slachtoffers systemen niet kunnen herstellen. Daarnaast zorgt dit ervoor dat men alle bestanden kan versleutelen, ongeacht het type bestand.
 
De aanvallers gebruiken veelal gangbare kwetsbaarheden. De voornaamste aanvalsvectoren die gebruikt worden zijn bijvoorbeeld het misbruiken van toegangsmogelijkheden op (Windows) servers, zoals via het Remote Desktop Protocol met behulp van gelekte inloggegevens, of door het aanvallen van verouderde, op Java gebaseerde webservers. Daarnaast maakt men soms gebruik van brute-force aanvallen om het netwerk binnen te komen. Een voorbeeld hiervan is het inloggen op een FTP-server met een standaard wachtwoord.
 
Zodra een aanvaller een machine is binnengedrongen, kan deze de machine infecteren met malware, om vervolgens binnen het netwerk op zoek te gaan naar andere machines zonder tussenkomst van de gebruiker.

SamSam ransomware: risico

Bij een netwerk waar alle software up-to-date is en kritieke services achter een firewall staan, is het risico op besmetting klein. Echter, wanneer publieke services als RDP op afstand zonder beveiligingsmaatregelen de bereiken zijn, wordt dit risico hoger. Het risico wordt voornamelijk bepaald door de toegangsmogelijkheden tot een netwerk die voor een aanvaller beschikbaar zijn.

SamSam ransomware: mitigaties

De risico's die bij de SamSam ransomware horen, zijn te mitigeren met standaard beveiligingsmethoden ("best practices"), zoals:

  • Zet RDP uit op machines die via het internet te bereiken zijn. Als dit echt niet mogelijk is, zorg er dan voor dat men de machine alleen via bijvoorbeeld een VPN kunnen bereiken.
  • Zorg dat alle software bijgewerkt is naar de meest recente versie
  • Gebruik geen default wachtwoorden (FTP, routers, etc.)
  • Zet 2-factor authenticatie aan waar mogelijk
  • Sla backups op offline machines op

         

          LEES OOK: 5 TIPS IN DE STRIJD TEGEN PHISHING

---in english below---

FERM Notification: Threat Response - SamSam Ransomware

Over the last few days, a lot of information regarding the SamSam ransomware attacks has made the news. This ransomware attack has made a lot of victims over the last couple of months. In this message, we want to inform you about the threats and the possible mitigations regarding the SamSam ransomware attacks.

SamSam ransomware: description

SamSam ransomware is a financially motivated attack, that has been active since the end of 2015. A well known attack was performed against the city of Atlanta earlier this year. Previous ransomware attacks had the intent to make as much victims as possible, and were mostly performed automatically using known exploits. However, the Samsam ransomware has a different approach, because it specifically targets its victims. Attackers actively search for gaps in the security of networks, after which they themselves continue to search for relevant machines and data at the victim. For example, they will look for backups saved on online machines, and delete these to make sure the victim cannot restore machines. Furthermore, they enumerate all files for encryption, instead of looking at the file extension and filtering the relevant files.
 
The attackers mostly exploit well known vulnerabilities. The common attack vector is by abusing access to (Windows) servers, for example using the Remote Desktop Protocol (RDP) or by attacking outdated Java-based webservers. Besides, brute force attacks or stolen credentials are sometimes used to gain access to a network. An example can be logging in to an FTP server using a default password.
 
When the attacker has gained access to a machine, they can continue to infect it with malware. After that, they will search for other targets without user interference.

SamSam ransomware: risk

When all machines in a network are running up to date software, and critical services are located behind a correctly set-up firewall, the risk of infection is low. However, when internet-facing machines that are remotely accessible are running vulnerable services, the risk of infection is increased. The risk is primarily based on the attack surface, which is defined by the access possibilities available to the attacker.

SamSam ransomware: mitigation

The risks accompanying SamSam ransomware can be mitigated using standard security measures ("best practices"), like:

  • Turn off RDP on any publicly available, internet-facing, machine. If this is really not possible, only make the service reachable using for example a VPN connection
  • Make sure to update all software to the most recent version
  • Do not use default passwords on any machine (FTP, routers, etc.)
  • Turn on two-factor authentication if possible
  • Save backup copies on offline machines

 

Bronnen/Sources
[1] https://www.us-cert.gov/ncas/alerts/AA18-337A
[2] https://news.sophos.com/en-us/2018/11/29/how-a-samsam-like-attack-happens-and-what-you-can-do-about-it/
[3] https://www.csoonline.com/article/3263693/security/samsam-ransomware-attacks-have-earned-nearly-850-000.html
[4] https://blog.malwarebytes.com/cybercrime/2018/05/samsam-ransomware-need-know/

VIND FERM OOK OP FACEBOOK | TWITTER | LINKEDIN