In diverse nationale en internationale media wordt momenteel gewaarschuwd voor een ransomware aanval, genaamd SamSam. Deze ransomware circuleert al minimaal 1 jaar, maar krijgt nu aandacht in de nationale media vanwege de vaststelling dat enkele Nederlandse bedrijven geaffecteerd zijn door deze variant van malware en hier nu negatieve consequenties van ondervinden.
Wij informeren wat de impact hiervan is op uw organisatie en hoe ON2IT u kan ondersteunen met het nemen van corrigerende maatregelen.
Palo Alto Networks
Palo Alto Networks Next-Generation Firewalls blokkeren deze brute force pogingen[1] en uiteraard beschermt Palo Alto Networks Traps standaard al tegen software die ransomware karakteristieken vertoont[2].
Ransomware
Deze ransomware circuleert al een tijdje “in het wild”, en is door verschillende partijen al onderwerp van onderzoek[3] geweest. De ransomware verspreidt zich niet zelf (in tegenstelling tot een worm of virus), maar wordt handmatig door de aanvallers op publiek benaderbare systemen van organisaties geplaatst. Uit verdere berichtgeving blijkt dat de aanvallers in eerste instantie binnenkomen door het “brute-forcen” (het raden van gebruikersnamen en wachtwoorden) van accounts op Microsoft RDP servers die vanaf het internet benaderbaar zijn[4].
SamSam
Wat SamSam anders doet dan andere crypto-lockers, is dat de aanvallers hun slag niet direct en geautomatiseerd slaan zodra ze een systeem hebben gecompromitteerd. Ze proberen de malware naar andere systemen te propageren en doen onderzoek naar de organisatie die ze in het vizier hebben. Ze maken een inschatting op basis van het type organisatie en de beschikbare data en baseren hierop het ‘losgeld’ wat wordt geëist.
Wat doet ON2IT
Naast dat Palo Alto Networks apparatuur deze ransomware proactief blokkeert, blijft het ON2IT SOC waakzaam en extra alert. Wij houden de ontwikkelingen rond SamSam nauwlettend in de gaten en informeren u waar nodig verder. Voorts is het in alle gevallen raadzaam om complexe wachtwoorden (of liever multi-factor authenticatie) te vereisen en zo weinig mogelijk systemen direct vanaf het Internet benaderbaar te maken.
Indien u aanvullende vragen heeft omtrent deze kwetsbaarheid, kunt u contact opnemen met het ON2IT SOC. Wij zijn bereikbaar via 088-2266201 en servicedesk@on2it.net
Bronnen:
[1] https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmpCAC (threat ID 40021)
[2] https://www.paloaltonetworks.com/documentation/41/endpoint/newfeaturesguide/security-features/anti-ransomware-protection
[3] https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf?cmp=26061
[4] https://nos.nl/artikel/2261704-fox-it-nederlandse-bedrijven-ook-slachtoffer-van-samsam-gijzelsoftware.html
