SamSam el Ransomware que ataca hospitales

0
137

El grupo SamSam ransomware parece haber tenido un “gran” comienzo en 2018. Ha llegado a varios objetivos de alto perfil como hospitales, un ayuntamiento y una firma de ICS.

Los ataques reportados incluyen uno contra el Hospital de Salud Hancock en Greenfield, Indiana. El Adams Memorial Hospital en Decatur, Indiana. El municipio de Farmington, Nuevo México ; proveedor basado en la nube EHR (registros electrónicos de salud) Allscripts. Tambien una compañía anónima de ICS (Industrial Control Systems) en los EE. UU., basada en la información que Intel Bleeping Computer recibió.

Los funcionarios de Hancock Health han admitido haber pagado el rescate, a pesar de tener copias de seguridad , mientras que los otros no han comentado cómo remediaron los incidentes.

La evidencia apunta a la activa campaña SamSam ransomware

En los tres incidentes públicos, las víctimas dijeron que el ransomware bloqueó los archivos y mostró un mensaje con la palabra “lo siento”. El municipio de Farmington ha publicado una captura de pantalla de esta nota de rescate.

Bleeping Computer ha rastreado esta nota de rescate por infecciones recientes de SamSam. Según los datos proporcionados por el servicio ID-Ransomware, solo en enero se presentaron 17 envíos de archivos relacionados con SamSam al servicio.

El ransomware, también conocido como Samas, no es el ransomware que tiene el mismo aspecto en todas las infecciones. Es una variedad personalizada que usan los ladrones en ataques dirigidos.

El equipo de SamSam normalmente escanea Internet para computadoras con conexiones RDP abiertas y se integran a las redes forzando de forma brutal estos extremos RDP para que se extiendan a más computadoras.

Las notas y extensiones de Ransom generalmente varían de víctima a víctima. A pesar de esto, en base a la captura de pantalla compartida por el concejo municipal de Farmington. Podemos decir que esta versión particular de SamSam que usa la nota de rescate “0000-SORRY-FOR-FILES.html” ha infectado al menos ocho entidades desde el 26 de diciembre. las víctimas son de los EE. UU., pero algunas son de Canadá e India. Algunas víctimas informaron archivos cifrados con la extensión .weapologize.

captura del ransomware

Los atacantes ganaron casi $ 300,000

La dirección de la billetera de Bitcoin utilizada en esta nota de rescate recibió su primera transacción el 25 de diciembre. mientras tanto, ha recibido más dinero en lo que parecen ser pagos de rescate posteriores.

La cuenta actualmente tiene 26 Bitcoin, valuado en casi $ 300,000. Lo más probable es que la pandilla generó más víctimas y más dinero.

La historia actual debería ser una advertencia para las empresas que tienen computadoras abiertas a conexiones RDP remotas. Estas computadoras deben estar protegidas con una contraseña segura y única para evitar ladrones como el personal de SamSam irrumpiendo en sus sistemas.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.