kaptn - Fotolia

Ransomware : SamSam choisit désormais soigneusement ses cibles

Ce maliciel continue, et devrait continuer longtemps encore, de faire parler de lui. Ses opérateurs ne frappent pas au hasard, mais s’intéressent précisément aux organisations les plus vulnérables.

Il y a deux ans, le rançongiciel SamSam visait les serveurs JBoss. Ce temps apparaît désormais lointain. Selon Malwarebytes, Samsam vise désormais plutôt les systèmes exposant des services RDP ou FTP « vulnérables », « pour accéder au réseau de ses victimes ».

Sophos fait la même analyse, relevant que les opérateurs de SamSam utilisent également des attaques en force brute sur des mots de passe peu robustes pour accéder à des services RDP.

La manière donc a commencé l’infection dont a été victime la ville d’Atlanta en mars dernier n’est pas connue, mais Rendition Infosec relevait, au moment de l’incident, que des services RDP étaient justement exposés par certains des hôtes du système d’information, sur Internet, sans authentification forte.

Pour Sophos, les opérateurs de SamSam ne manquent pas d’une certaine originalité : ils ne frappent pas de manière aléatoire, lançant de vastes campagnes de spam pour toucher un maximum de victimes, sans discernement. Selon l’éditeur, ce ransomware « est utilisé contre des organisations précises, celles les plus susceptibles de payer pour recouvrer leurs données, comme les hôpitaux et les écoles ».

Le processus d’infection n’est d’ailleurs pas complètement automatisé : « après avoir réussi à infecter un hôte, SamSam cherche des victimes additionnelles en cartographiant le réseau et en volant des identifiants. Une fois que les cibles potentielles sont découvertes, les attaquants déploient manuellement [le maliciel] sur les systèmes sélectionnés avec des outils tels que Psexec et des scripts batch ».

Les chercheurs de Sophos relèvent au passage les efforts déployés par les opérateurs de SamSam, notamment pour « masquer leurs traces » : « dans de nombreux cas, le vecteur d’infection initial n’est pas clair, et certaines étapes de la chaîne d’attaque manquent ». En outre, les cyber-délinquants « effacent des fichiers impliqués dans l’attaque, jusqu’à la charge utile elle-même » et font évoluer leurs méthodes de déploiement.

Et cela semble payer… Depuis la mi-janvier, près de 70 bitcoins auraient été collectés, soit plus de 600 000 $ au cours actuel de cette crypto-monnaie. Un montant qui ne fait que s’ajouter aux rançons précédemment collectées. Et pour Malwarebytes, « SamSam n’est pas prêt de disparaître ».

Pour approfondir sur Menaces, Ransomwares, DDoS

Close