zephyr_p - stock.adobe.com

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Aumentan ataques de SamSam a infraestructuras críticas

El ransomware desarma las defensas de los dispositivos y roba las credenciales de acceso para afectar toda la red de trabajo, informó S21sec.

Aunque el ransomware SamSam se encuentra dando vueltas por internet desde 2016, cuando fue creado por el grupo conocido como Gold Lowell, los ataques con este malware han aumentado recientemente, reportó la compañía española de seguridad digital S21sec. La particularidad con este ransomware SamSam es que sus ataques se llevan a cabo con moderación, en un número relativamente pequeño de ataques dirigidos a organizaciones en industrias como salud, infraestructuras críticas y gobiernos locales.

Por ello, el gobierno de Estados Unidos publicó un aviso acerca de la naturaleza oportunista del mismo, puesto que aprovecha las vulnerabilidades de los sistemas y servidores para moverse lateralmente a través de la red e identificar a sus potenciales objetivos.

Los atacantes de SamSam utilizan una combinación de técnicas, tales como el pentesting; herramientas como Mimikatz, para obtener credenciales; o PSexec para moverse lateralmente en las redes del objetivo, donde el malware será instalado manualmente. Esta técnica permite sortear los antivirus y evitar la generación de alertas, ya que los dispositivos de seguridad generalmente reconocen este tráfico como comandos legítimos desde dentro de la organización atacada.

Métodos de ataque

Cada ataque de SamSam se ha realizado utilizando una versión diferente del malware, con sus correspondientes mejoras en el código, que también le permiten robar las credenciales de accesos de los dispositivos afectados. En algunos casos, cuando la ejecución es bloqueada por una herramienta de protección de punto final, los atacantes modifican el registro de entrada para deshabilitar el escaneado de puntos finales.

Una vez dentro de una red, el malware pasa todo el tiempo posible escaneando la red, mapeando su diseño y utilizando herramientas legítimas para expandir su acceso a servidores locales, desde donde podrían infectar otras estaciones de trabajo.

Por último, el ransomware cifra las máquinas comprometidas y muestra la nota de rescate a la compañía afectada, con el consiguiente pago de la compañía por cada computadora individual o en bloque para todas las estaciones de trabajo infectadas.

Ante este escenario, S21sec recomienda:

  • Mantener su software actualizado.
  • Evitar correos y documentos de origen desconocido o no confiables.
  • Ante cualquier duda, comunicarse con el equipo de seguridad de la empresa.
  • Dar formación de seguridad a los empleados para poder concienciar y evitar infecciones.
  • Realizar respaldos diarios para evitar la pérdida de datos en caso de infección.

Respecto a los respaldos, la empresa de seguridad señala que deben encontrarse en una unidad aislada para que no pueda ser accesible para el ransomware y evitar que sean cifrados junto con el resto de los archivos de la máquina. Asimismo, recomienda preparar con antelación un procedimiento de restauración para minimizar el tiempo de respuesta cuando se produzca el incidente.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close