• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar
22 enero
SamSam: un nuevo ransomware dirigido a instituciones públicas

Los expertos afirman que este virus se prolongará durante las próximas semanas. Su funcionamiento es similar al de otras amenazas.

Un nuevo ransomware en la mira. Expertos en seguridad comunican que una gran cantidad de instituciones (sobre todo estadounidenses) fueron afectadas por un ransomware llamado “SamSam”. Esta vez, los ciberdelincuentes focalizan sus esfuerzos en entidades públicas.

Parece que algunos hospitales habrían pagado el rescate solicitado por recuperar el acceso a los datos afectados, incluso disponiendo de una copia de seguridad que permitiría recuperar una cantidad importante de la información afectada.

Los expertos ya hablan de una campaña del ransomware SamSam activa y afirman que se prolongará durante las próximas semanas.

De acuerdo con la información que se tiene hasta el momento, el funcionamiento es similar al de otras amenazas. Lo primero que observan los usuarios es que en el escritorio les aparece un archivo con el nombre “0000-SORRY-FOR-FILES.html2”. Si se abre utilizando un navegador web, se puede observar como son las instrucciones que hay que seguir para llevar a cabo el descifrado de la información.

Una vez hecho eso, es donde se comienza a considerar lo “nuevo”, ya que para ingresar a todo el proceso para realizar el pago y conseguir el código de desbloqueo, el usuario debe instalar el navegador “Tor”. La cantidad a abonar es de 0,7 Bitcoin para 1 PC afectada o 3, si se quiere para todas las PCs infectadas. Es importante aclarar que éste ransomware afecta a equipos con sistema operativo Windows.

La campaña de infección lleva funcionando dos semanas y hasta el momento hay tres entidades perjudicadas. Los expertos en seguridad aseguran que a esta campaña le podrían quedar aún 3 semanas.

Aunque se piense que, una vez más, los mensajes de correo electrónicos son los protagonistas, esto no es así. En este caso, los ciberdelincuentes utilizan conexiones RDP no seguras o contraseñas disponibles en diccionarios de Internet para hace uso de los servicios de las víctimas y copiar el malware, sin que las mismas se den cuenta de lo que ocurre. En el momento en que el usuario intente realizar algo, los archivos ya se encontrarán cifrados.

Frente a estos casos, las únicas dos soluciones posibles son: la restauración del equipo a un estado anterior o recurrir a copias de seguridad y formatear completamente el equipo.

Ante esta situación, podemos observar que la seguridad existente en equipos pertenecientes a instituciones y entidades públicas es considerado el blanco más fácil para los ciberdelincuentes, incluso más que los usuarios particulares.

Referencia:

www.redeszone.net/2018/01/22/samsam-nuevo-ransomware-dirigido-instituciones-publicas/

Tu opinión nos ayuda a seguir creciendo.

Seleccioná la cantidad de estrellas que consideres apropiada.

BA-CSIRT, ¿cómo reportar un indicente de ciberseguridad?