Ransomware die netwerken versleutelt gebruikt RDP als ingang

[Captain Kirk]

De groep achter de beruchte SamSam-ransomware is nu al zo'n 2 jaar actief en door slecht beveiligde RDP-systemen nog steeds succesvol. Opmerkelijk aan SamSam, ook bekend als Samas, is dat de installatie van de ransomware handmatig plaatsvindt, complete netwerken worden versleuteld en er zeer hoge bedragen voor het ontsleutelen worden gevraagd.

Onlangs besloot een Amerikaans ziekenhuis de makers van SamSam nog 55.000 dollar te betalen om versleutelde bestanden te ontsleutelen. In tegenstelling tot andere ransomware, die vaak via bijlagen en exploits wordt verspreid, hackt de SamSam-groep organisaties. Eenmaal binnen wordt de ransomware op zoveel mogelijk systemen geïnstalleerd en wordt er actief naar back-ups gezocht om die te verwijderen of versleutelen.

In eerste instantie gebruikte de groep bekende kwetsbaarheden in JBoss-servers, waar organisaties de beschikbare updates niet voor hadden geïnstalleerd, om toegang tot netwerken te krijgen. Sinds vorig jaar wordt er echter van het Remote Desktop Protocol (RDP) gebruikmaakt. Via RDP is het mogelijk om op afstand op systemen in te loggen. Om toegang tot de RDP-systemen van organisaties te krijgen maakt de groep gebruik van bruteforce-aanvallen, zo laat securitybedrijf Secureworks in een vandaag gepubliceerd rapport weten.

Matt Webster van Secureworks sluit echter niet uit dat de groep ook gebruikmaakt van al gecompromitteerde RDP-systemen. Op internet zijn er criminelen die gehackte RPD-systemen van organisaties te koop aanbieden. De SamSam-groep zou zo toegang tot slachtoffers krijgen, aldus Webster in een interview met Security.NL. In de praktijk blijkt dat er tijd tussen het compromitteren van de RDP-gegevens of het RDP-systeem zit en de infectie door SamSam. Dat zou deze theorie ondersteunen.

Hoewel aanvallen van de groep tegen ziekenhuizen veel aandacht krijgen, worden ook andere sectoren getroffen, waaronder it-bedrijven, zakelijke dienstverleners, softwareontwikkelaars en horeca. De groep gaat daarbij opportunistisch te werk, zegt Webster. Met name kleinere organisaties die niet over goede incident response of beschikbare back-ups beschikken, of geen complex of gesegmenteerd netwerk hebben, kunnen zwaar door SamSam worden getroffen. Zo was een Amerikaans ziekenhuis zes weken door SamSam ontregeld.

Begin 2016 gaf de FBI een waarschuwing af voor SamSam. Nog altijd maakt de groep slachtoffers. De laatste campagne, die eind vorig jaar en begin dit jaar plaatsvond, zou de criminelen 350.000 dollar hebben opgeleverd. Dit is gebaseerd op de bekende Bitcoin-wallets waar slachtoffers het geld naar toe hebben overgemaakt. Het werkelijke bedrag kan echter hoger liggen, aangezien niet alle Bitcoin-wallets die de groep gebruikt bekend zijn.

Webster adviseert organisaties om hun RDP-systemen goed te beveiligen, back-ups te maken en over een incident-responseplan te beschikken en dit ook te testen. Daarnaast kan de groep door middel van systeemmonitoring ook tijdens de aanval zelf worden opgemerkt. De SamSam-groep werkt namelijk met bekende tools als Mimikatz.

 

 

bron: security.nl