Alerte du FBI concernant le ransomware SamSam

Posted On 04 Déc 2018

Tag: bot, infiltration, Internet of Things

Le Centre national d’intégration de la cybersécurité et des communications (NCCIC) du Département de la sécurité intérieure (DHS) et le FBI (Federal Bureau of Investigation) émettent une alerte nationale concernant le ransomware SamSam. Le code malveillant s’invite sous le sapin de Noël ?

Quand le FBI émet une alerte nationale concernant la cybersécurité, soyons honnête, tout le monde tend l’oreille. Cette alerte, une diffusion commune, ce 3 décembre 2018, avec le Department of Homeland Security (DHS) et le National Cybersecurity and Communications Integration Center (NCCIC). Mission, informer sur le ransomware SamSam.

« SamSam cible plusieurs industries, y compris certaines infrastructures critiques. » souligne le FBI. Les victimes se trouvaient principalement aux États-Unis, mais aussi à l’échelle internationale. Le Federal Bureau of Investigation explique que les sociétés visées sont plus facilement susceptibles de payer des rançons importantes pour reprendre la main sur leurs machines infiltrées par un ransomware. Il en est de même pour « Les organisations qui fournissent des fonctions essentielles et qui souhaitent reprendre leurs activités rapidement« .

Depuis 2016

Les pirates exploitent les serveurs Windows pour obtenir un accès persistant au réseau de la victime. Ils infectent ensuite tous les hôtes accessibles. Selon des informations communiquées par des victimes, les pirates utilisent le kit JexBoss Exploit Kit. Mission, accéder à des applications JBoss vulnérables. Depuis la mi-2016, l’analyse du FBI démontre que les ordinateurs des victimes infiltrés via le protocole RDP (Remote Desktop Protocol). Un accès permanent aux réseaux des victimes.

Généralement, les acteurs exploitent des attaques par force brute ou des identifiants de connexion volés. Détecter les intrusions RDP peut être difficile. Pourquoi ? Le malware pénètre par un point d’accès approuvé.

Ensuite, les diffuseurs de SamSam établissent des privilèges avec des droits d’administrateur. Ils déposent les logiciels malveillants sur le serveur. Il l’exécute. Le tout sans action, ni autorisation des victimes. Bien que de nombreuses campagnes de ransomware fassent en sorte qu’une victime réalise une action (cliquer sur la pièce jointe par exemple, NDR), le RDP permet aux cyber-malveillants d’infecter les victimes avec un minimum de détection.

Des RDP volés vendus dans le blackmarket

L’analyse des outils trouvés sur les réseaux de victimes a révélé que les pirates performants avaient acheté plusieurs des identifiants RDP volés dans le black market. L’analyse des journaux d’accès des victimes révèlent que les acteurs de SamSam peuvent infecter un réseau quelques heures après l’achat des informations d’identité. Plus vite utilisé, plus vite rentabilisé ! Lors de la réparation des systèmes infectés, plusieurs victimes ont découvert une activité suspecte sur leurs réseaux sans lien avec SamSam. Cette activité est un indicateur possible du fait que les informations d’identification des victimes ont été volées, vendues sur le darknet et utilisation pour d’autres activités illégales.

Petit mot d’amour

Les pirates laissent des notes concernant la rançon sur les ordinateurs pris en otage (chiffrés). Ces instructions indiquent aux victimes d’établir un contact via un site de services cachés de Tor. Après avoir payé la rançon en Bitcoin et établi le contact, les victimes reçoivent généralement des liens permettant de télécharger des clés cryptographiques. Des outils permettant de déchiffrer leur réseau peuvent être fournis.

Que faire ?

Dans sa note, le DHS et le FBI recommandent aux utilisateurs et aux administrateurs d’examiner toutes les modifications de configuration. « Auditez votre réseau pour les systèmes qui utilisent RDP pour la communication à distance […] Désactivez le service si inutile ou installez les correctifs disponibles.« . Vérifier que toutes les instances de machine virtuelle « cloud » avec des adresses IP publiques n’ont pas de ports RDP ouverts. En particulier le port 3389, sauf s’il existe une raison valable de conserver les ports RDP ouverts. Placez tout système dont le port RDP est ouvert derrière un pare-feu et obligez les utilisateurs à utiliser un VPN pour accéder à ce système. Mot de passe fort, verrouillage de compte et double authentification doivent protéger contre les attaques par force brute. « Appliquez régulièrement des mises à jour du système et des logiciels […] Maintenir une bonne stratégie de sauvegarde. » termine le FBI.

AA18-3337 : SamSam Ransomware – AR18-337A – SamSam1 – SamSam4 – AR18-337C – SamSam3

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.