Alerte du FBI concernant le ransomware SamSam
Le Centre national d’intégration de la cybersécurité et des communications (NCCIC) du Département de la sécurité intérieure (DHS) et le FBI (Federal Bureau of Investigation) émettent une alerte nationale concernant le ransomware SamSam. Le code malveillant s’invite sous le sapin de Noël ?
Quand le FBI émet une alerte nationale concernant la cybersécurité, soyons honnête, tout le monde tend l’oreille. Cette alerte, une diffusion commune, ce 3 décembre 2018, avec le Department of Homeland Security (DHS) et le National Cybersecurity and Communications Integration Center (NCCIC). Mission, informer sur le ransomware SamSam.
« SamSam cible plusieurs industries, y compris certaines infrastructures critiques. » souligne le FBI. Les victimes se trouvaient principalement aux États-Unis, mais aussi à l’échelle internationale. Le Federal Bureau of Investigation explique que les sociétés visées sont plus facilement susceptibles de payer des rançons importantes pour reprendre la main sur leurs machines infiltrées par un ransomware. Il en est de même pour « Les organisations qui fournissent des fonctions essentielles et qui souhaitent reprendre leurs activités rapidement« .
Depuis 2016
Les pirates exploitent les serveurs Windows pour obtenir un accès persistant au réseau de la victime. Ils infectent ensuite tous les hôtes accessibles. Selon des informations communiquées par des victimes, les pirates utilisent le kit JexBoss Exploit Kit. Mission, accéder à des applications JBoss vulnérables. Depuis la mi-2016, l’analyse du FBI démontre que les ordinateurs des victimes infiltrés via le protocole RDP (Remote Desktop Protocol). Un accès permanent aux réseaux des victimes.
Généralement, les acteurs exploitent des attaques par force brute ou des identifiants de connexion volés. Détecter les intrusions RDP peut être difficile. Pourquoi ? Le malware pénètre par un point d’accès approuvé.
Ensuite, les diffuseurs de SamSam établissent des privilèges avec des droits d’administrateur. Ils déposent les logiciels malveillants sur le serveur. Il l’exécute. Le tout sans action, ni autorisation des victimes. Bien que de nombreuses campagnes de ransomware fassent en sorte qu’une victime réalise une action (cliquer sur la pièce jointe par exemple, NDR), le RDP permet aux cyber-malveillants d’infecter les victimes avec un minimum de détection.
Des RDP volés vendus dans le blackmarket
L’analyse des outils trouvés sur les réseaux de victimes a révélé que les pirates performants avaient acheté plusieurs des identifiants RDP volés dans le black market. L’analyse des journaux d’accès des victimes révèlent que les acteurs de SamSam peuvent infecter un réseau quelques heures après l’achat des informations d’identité. Plus vite utilisé, plus vite rentabilisé ! Lors de la réparation des systèmes infectés, plusieurs victimes ont découvert une activité suspecte sur leurs réseaux sans lien avec SamSam. Cette activité est un indicateur possible du fait que les informations d’identification des victimes ont été volées, vendues sur le darknet et utilisation pour d’autres activités illégales.
Petit mot d’amour
Les pirates laissent des notes concernant la rançon sur les ordinateurs pris en otage (chiffrés). Ces instructions indiquent aux victimes d’établir un contact via un site de services cachés de Tor. Après avoir payé la rançon en Bitcoin et établi le contact, les victimes reçoivent généralement des liens permettant de télécharger des clés cryptographiques. Des outils permettant de déchiffrer leur réseau peuvent être fournis.
Que faire ?
Dans sa note, le DHS et le FBI recommandent aux utilisateurs et aux administrateurs d’examiner toutes les modifications de configuration. « Auditez votre réseau pour les systèmes qui utilisent RDP pour la communication à distance […] Désactivez le service si inutile ou installez les correctifs disponibles.« . Vérifier que toutes les instances de machine virtuelle « cloud » avec des adresses IP publiques n’ont pas de ports RDP ouverts. En particulier le port 3389, sauf s’il existe une raison valable de conserver les ports RDP ouverts. Placez tout système dont le port RDP est ouvert derrière un pare-feu et obligez les utilisateurs à utiliser un VPN pour accéder à ce système. Mot de passe fort, verrouillage de compte et double authentification doivent protéger contre les attaques par force brute. « Appliquez régulièrement des mises à jour du système et des logiciels […] Maintenir une bonne stratégie de sauvegarde. » termine le FBI.
AA18-3337 : SamSam Ransomware – AR18-337A – SamSam1 – SamSam4 – AR18-337C – SamSam3