It-beveiliger Sophos heeft een langetermijnonderzoek gedaan naar de Samsam-ransomware. Die richtte sinds eind 2015 al voor miljoenen dollars schade aan. Het onderzoek geeft een unieke inkijk in de zorgvuldigheid waarmee dit stukje ransomware te werk gaat.
Samsam is een grondige versleutelingstool die niet alleen databestanden ontoegankelijk maakt, het versleutelt ook alle programma’s die niet essentieel zijn voor de werking van een Windows-computer, waarvan de meeste niet regelmatig worden voorzien van een back-up. Het herstel vereist meestal een herinstallatie van software en het herstellen van back-ups. De software is ook goed in het verborgen houden van zijn sporen en lijkt na verloop van tijd steeds meer paranoïde te worden (of meer ervaren) en voegt geleidelijk meer beveiligingsfuncties toe aan zijn tools en websites.
België: derde plaats
Samsam verscheen in december 2015 plots op het toneel. Zo’n 74 procent van de bekende slachtoffers zijn gevestigd in de Verenigde Staten. Het Verenigd Koninkrijk neemt de tweede plek in met 8 procent en op de derde plaats komt België met 6 procent. Het kostte Sophos aanzienlijk wat tijd om de details van de aanvallers te pakken te krijgen, omdat ze zorgvuldig hun methodes verdoezelden en daarbovenop het bewijs dat hen kon verraden, verwijderden.
In tegenstelling tot de meeste andere ransomware, codeert Samsam niet alleen documentbestanden, afbeeldingen en andere persoonlijke- of werkgegevens, maar ook configuratie- en gegevensbestanden die nodig zijn om toepassingen uit te voeren (bijvoorbeeld van Microsoft Office). Slachtoffers wiens back-up alleen de documenten en bestanden beschermt, zullen niet in staat zijn om een machine te herstellen zonder deze eerst opnieuw te installeren. Veel slachtoffers vonden dat ze niet snel genoeg konden herstellen om de bedrijfscontinuïteit te waarborgen en betaalden dus (met tegenzin) het losgeld.
Zes miljoen dollar losgeld
Door het volgen van Bitcoin-adressen op losgeld, details en voorbeeldbestanden en door samen te werken met de firma Neutrino, heeft Sophos berekend dat de cybercriminelen achter Samsam sinds eind 2015 al een kleine zes miljoen dollar hebben verdiend. Een individueel slachtoffer heeft zo’n 64.000 dollar betaald. Het geld loopt overigens, drie jaar na datum, nog altijd binnen via nieuwe versies van de ransomware. Elke volgende aanval toont trouwens steeds verbeterde methodes en een toenemend bewustzijn van hoe men de veiligheid kan omzeilen, zo merkt Sophos op.
En ook het losgeld gaat stelselmatig de hoogte in: alleen al in 2018 haalde de bende achter Samsam nog meer dan 2,2 miljoen op. De slachtoffers moeten de cybercriminelen betalen in Bitcoins via een aangepaste ‘betaalsite’ op het Darkweb. Elk slachtoffer krijgt daarvoor een uniek adres. Nadat de volledige betaling is ontvangen, verplaatst de aanvaller de cryptocurrency naar een systeem van zogenaamde Tumblers en Mixers. Via die techniek, in feite een reeks van ontelbare microtransacties, wordt het bijna onmogelijk om zijn identiteit te achterhalen.
Besmette Remote Desktop
Sophos heeft sterke vermoedens dat veel aanvallen beginnen met een besmette remote desktop van een machine binnen het netwerk om dat netwerk te scannen. Van de aanvaller is ook bekend dat hij exploits op kwetsbare machines implementeert om een externe code toe te passen. Er worden conventionele open-source en commerciële programma’s ingezet die normaal worden gebruikt voor systeembeheer of penetratietesten om wachtwoorden te achterhalen, ransomware-installatieprogramma’s naar domeinbeheerders te verplaatsen en de ransomware naar verbonden werkstations te pushen. In tegenstelling tot veel ransomware aanvallen, zijn deze niet afkomstig van een conventionele aanval met schadelijke spam of aanvallen via downloads. Elke aanval is een handmatige inbraak op een vooraf geselecteerd netwerk.
Slapen is succes
De aanvallen verzetten zich ook actief tegen pogingen om het Samsam-installatieprogramma te blokkeren en gebruikt technieken die bepaalde typen eindpuntbeveiliging op bepaalde systemen omzeilen, waardoor ze kwetsbaar worden voor de ransomware. Zodra de malware het interne netwerk kan scannen en een lijst met mogelijke slachtoffers kan maken, wachten de aanvallers tot het midden in de nacht in de tijdzone van het slachtoffer, voordat opdracht wordt gegeven om de malware te distribueren en de geïnfecteerde machines te coderen. Timing is voor deze fase immers uiterst belangrijk: wanneer de meeste gebruikers en beheerders slapen, worden de kansen op succes een stuk beter.
I don’t like Mondays
Samsam bevat binnen de programmacode een lijst met bestandsextensies die als eersten versleuteld moeten worden. De bestanden op die lijst zullen voor alle andere worden gecodeerd. Nadat het de bestanden in de lijst heeft gecodeerd, versleutelt het ook elk ander bestand dat niet nodig is om Windows en de IE- of Edge-browser te laten werken. De meeste back-upregimes worden niet gebruikt voor het onderhouden van back-ups van programma-mappen of configuratiebestanden. Als iemand de encryptie onverwacht onderbreekt, detecteert een intern proces in Samsam dit en voert het een veilig verwijderingsprogramma uit dat de code wist en forensisch herstel belemmert. De compileertijd voor Samsam geeft aan dat de overgrote meerderheid van de samples wordt gebouwd tussen 20.00 uur tot 23.00 uur in de lokale tijd van de aanvaller. Die aanvaller verzamelt de hele week nieuwe exemplaren van de uitvoerbare malware payloads, maar gaat het minste te werk op maandag en het meeste op dinsdag. Zelfs slechteriken houden niet van maandagen.
