Ransomware SamSam

El malware sigue siendo una de las amenazas más acuciantes tanto para personas como para organizaciones. Los ciberdelincuentes innovan continuamente y desarrollan nuevas estrategias de ataque diseñadas para explotar vulnerabilidades y obtener acceso ilícito a datos confidenciales. Entre estas amenazas, el ransomware SamSam destaca como una cepa especialmente peligrosa, principalmente porque se desvía de los métodos habituales de infección basados en phishing. Comprender su funcionamiento e implementar medidas de seguridad robustas es esencial para mantener sus sistemas seguros.

¿Qué es SamSam Ransomware?

Detectado por primera vez entre finales de 2015 y principios de 2016, el ransomware SamSam, también conocido como Samas o SamsamCrypt, se hizo rápidamente conocido por sus ataques dirigidos a sectores críticos, como la sanidad, el transporte, la educación y los gobiernos locales. A diferencia de las típicas campañas de ransomware que se basan en tácticas de ingeniería social, SamSam utiliza la explotación directa de la red.

Aunque inicialmente se creyó que se originó en Europa del Este, las investigaciones posteriores vincularon el malware con ciberdelincuentes iraníes, y dos personas fueron acusadas en 2018. Su impacto ha sido global, con ataques documentados en Estados Unidos, Reino Unido, Francia, Portugal, Australia, Canadá y Oriente Medio.

Campañas de ataque notorias

Departamento de Transporte de Colorado
En febrero de 2018, el Departamento de Transporte de Colorado sufrió una grave interrupción cuando SamSam encriptó sus sistemas y exigió el pago en bitcoin. Al negarse a cumplir, el CDOT gastó aproximadamente $1.7 millones en esfuerzos de recuperación.

Gobierno local de Atlanta
En marzo de 2018, la ciudad de Atlanta quedó paralizada por un ataque de SamSam realizado mediante un ataque de fuerza bruta a su Protocolo de Escritorio Remoto (RDP). Servicios como los de servicios públicos y el sistema judicial se vieron afectados. Los atacantes exigieron 51.000 dólares en bitcoin, pero la ciudad se negó y finalmente gastó 2,7 millones de dólares en remediarlo.

El sector sanitario se ve afectado
SamSam afectó especialmente al sector sanitario, con víctimas notables como Allied Physicians of Michiana, Hancock Health y Allscripts. Solo en 2018, el sector sanitario representó una cuarta parte de todos los ataques conocidos de SamSam.

¿Cómo funciona el ransomware SamSam?

A diferencia del ransomware que se propaga mediante correos electrónicos de phishing o archivos adjuntos maliciosos, SamSam se aprovecha de sistemas vulnerables y credenciales robadas. Según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), los atacantes explotan las vulnerabilidades de los servidores Windows y obtienen acceso remoto mediante:

• Conexiones RDP expuestas o sin parches
• Credenciales de inicio de sesión compradas o obtenidas por la fuerza bruta

• Herramientas de explotación como JexBoss para aplicaciones JBoss

Una vez dentro, los atacantes escalan privilegios, implementan el malware manualmente y cifran archivos críticos. Este enfoque práctico permite una focalización precisa y un daño generalizado dentro de las redes comprometidas.

La nota de rescate y las tácticas de pago

Tras completar el cifrado, los operadores de SamSam dejan una nota de rescate indicando a las víctimas que se comuniquen a través de un portal basado en Tor. Se exigen pagos en Bitcoin, y aunque algunas víctimas han recibido claves de descifrado tras el pago, no hay garantía de que los atacantes cumplan el acuerdo.

¿SamSam sigue siendo una amenaza?

Aunque los ataques conocidos disminuyeron después de 2018 y se arrestó a operadores clave, no hay evidencia de que el ransomware haya sido erradicado. No existe una herramienta oficial de descifrado, por lo que SamSam aún debe considerarse un riesgo activo.

Fortalezca su defensa: Mejores prácticas de seguridad

Prevenir una infección de SamSam requiere una estrategia de seguridad proactiva centrada en cerrar las vulnerabilidades que explota. Estos son los pasos esenciales que toda organización debería implementar:

1. Acceso RDP seguro y auditado

• Deshabilite RDP si no es necesario.
• Para los servicios RDP necesarios, aplique una autenticación sólida y restrinja el acceso a direcciones IP confiables.
• Aplique los últimos parches de seguridad rápidamente para eliminar fallas explotables.

2. Hacer cumplir el principio del mínimo privilegio

• Limite los permisos de usuario únicamente a las funciones esenciales.
• Utilice el control de acceso basado en roles para evitar daños generalizados desde una única cuenta comprometida.

3. Adoptar políticas de autenticación y contraseñas seguras

• Una estrategia de contraseñas segura debe incluir:
• Una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales.
• Cambios periódicos de contraseña y prohibición de reutilización.
• Errores comunes a evitar:
• Compartir credenciales con otros.
• Deshabilitar la autenticación multifactor (MFA).
• Almacenar contraseñas en archivos no seguros.

4. Mantener copias de seguridad periódicas

• Mantenga las copias de seguridad fuera de línea o en redes segmentadas.
• Pruebe periódicamente los procedimientos de restauración para garantizar su eficacia.

Reflexiones finales

El ransomware SamSam sirve como un claro recordatorio de que los ataques de ransomware no siempre se basan en engañar a los usuarios, sino que a menudo explotan vulnerabilidades técnicas. Las organizaciones que no protegen sus conexiones RDP, no implementan medidas de autenticación robustas ni mantienen copias de seguridad adecuadas corren el riesgo de convertirse en el próximo titular de la prensa. La vigilancia, los controles de seguridad por capas y un equipo de trabajo capacitado siguen siendo la mejor defensa contra las ciberamenazas en constante evolución.