Devis de remise multi-licences
Données concernant les menaces Ransomware Ransomware SamSam

Ransomware SamSam

Par Mezo en Ransomware
Se traduisent par :

Les logiciels malveillants demeurent l'une des menaces les plus pressantes pour les particuliers comme pour les entreprises. Les cybercriminels innovent en permanence et développent de nouvelles stratégies d'attaque conçues pour exploiter les vulnérabilités et accéder illégalement à des données sensibles. Parmi ces menaces, le ransomware SamSam se distingue par sa dangerosité, notamment parce qu'il diffère des méthodes d'infection classiques par hameçonnage. Comprendre son fonctionnement et mettre en œuvre des mesures de sécurité robustes est essentiel pour protéger vos systèmes.

Qu’est-ce que SamSam Ransomware ?

Détecté pour la première fois entre fin 2015 et début 2016, le rançongiciel SamSam, également connu sous le nom de Samas ou SamsamCrypt, s'est rapidement fait connaître grâce à ses attaques ciblées contre des secteurs critiques, notamment la santé, les transports, l'éducation et les collectivités locales. Contrairement aux campagnes de rançongiciel classiques qui s'appuient sur des tactiques d'ingénierie sociale, SamSam exploite directement le réseau.

Bien que l'on ait initialement pensé que le malware provenait d'Europe de l'Est, les enquêtes ont ensuite lié le malware à des cybercriminels iraniens, deux individus ayant été inculpés en 2018. Son impact a été mondial, avec des attaques documentées aux États-Unis, au Royaume-Uni, en France, au Portugal, en Australie, au Canada et au Moyen-Orient.

Campagnes d’attaque notoires

Département des transports du Colorado
En février 2018, le Département des Transports du Colorado a été confronté à une perturbation majeure lorsque SamSam a chiffré ses systèmes et exigé un paiement en Bitcoin. Refusant d'obtempérer, le CDOT a dépensé environ 1,7 million de dollars en efforts de rétablissement.

Gouvernement local d'Atlanta
En mars 2018, la ville d'Atlanta a été paralysée par une attaque SamSam lancée par force brute sur son protocole RDP (Remote Desktop Protocol). Des services allant des services publics au système judiciaire ont été touchés. Les attaquants ont exigé 51 000 dollars en Bitcoin, mais la ville a refusé et a finalement dépensé 2,7 millions de dollars pour la remédiation.

Coups dans le secteur de la santé
SamSam a particulièrement touché le secteur de la santé, avec des victimes notables telles qu'Allied Physicians of Michiana, Hancock Health et Allscripts. Rien qu'en 2018, le secteur de la santé a été à l'origine d'un quart des attaques SamSam connues.

Comment fonctionne le ransomware SamSam ?

Contrairement aux rançongiciels diffusés par e-mails de phishing ou pièces jointes malveillantes, SamSam exploite les systèmes vulnérables et les identifiants volés. Selon la Cybersecurity & Infrastructure Security Agency (CISA), les attaquants exploitent les faiblesses des serveurs Windows et obtiennent un accès à distance via :

  • Connexions RDP exposées ou non corrigées
  • Identifiants de connexion achetés ou forcés
  • Outils d'exploitation comme JexBoss pour les applications JBoss

Une fois à l'intérieur, les attaquants augmentent leurs privilèges, déploient manuellement le logiciel malveillant et chiffrent les fichiers critiques. Cette approche pratique permet un ciblage précis et des dégâts étendus au sein des réseaux compromis.

La demande de rançon et les tactiques de paiement

Une fois le chiffrement terminé, les opérateurs de SamSam laissent une demande de rançon demandant aux victimes de communiquer via un portail Tor. Les paiements sont exigés en Bitcoins, et bien que certaines victimes aient reçu des clés de déchiffrement après le paiement, rien ne garantit que les attaquants honoreront leur engagement.

SamSam est-il toujours une menace ?

Bien que les attaques médiatisées aient diminué après 2018 et que des opérateurs clés aient été arrêtés, rien ne prouve que le rançongiciel ait été éradiqué. Aucun outil de déchiffrement officiel n'existe, ce qui signifie que SamSam doit toujours être considéré comme un risque actif.

Renforcez votre défense : meilleures pratiques de sécurité

Prévenir une infection par SamSam nécessite une stratégie de sécurité proactive visant à corriger les vulnérabilités exploitées. Voici les étapes essentielles que chaque organisation devrait mettre en œuvre :

  1. Accès RDP sécurisé et audité
  • Désactivez RDP si vous n'en avez pas besoin.
  • Pour les services RDP nécessaires, appliquez une authentification forte et limitez l’accès aux adresses IP de confiance.
  • Appliquez rapidement les derniers correctifs de sécurité pour éliminer les failles exploitables.
  1. Appliquer le principe du moindre privilège
  • Limitez les autorisations des utilisateurs aux fonctions essentielles uniquement.
  • Utilisez le contrôle d’accès basé sur les rôles pour éviter des dommages généralisés causés par un seul compte compromis.
  1. Adopter des politiques de mots de passe et d'authentification fortes
  • Une stratégie de mot de passe forte doit inclure :
  • Un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
  • Changements réguliers de mot de passe et interdiction de réutilisation.
  • Erreurs courantes à éviter :
  • Partage des informations d’identification avec d’autres.
  • Désactivation de l’authentification multifacteur (MFA).
  • Stockage des mots de passe dans des fichiers non sécurisés.
  1. Maintenir des sauvegardes régulières
  • Conservez les sauvegardes hors ligne ou sur des réseaux segmentés.
  • Testez périodiquement les procédures de restauration pour garantir leur efficacité.

Réflexions finales

Le rançongiciel SamSam nous rappelle brutalement que les attaques par rançongiciel ne se contentent pas toujours de tromper les utilisateurs, mais exploitent souvent des faiblesses techniques. Les organisations qui ne sécurisent pas leurs connexions RDP, n'appliquent pas de mesures d'authentification fortes ou ne maintiennent pas de sauvegardes adéquates risquent de faire la une des journaux. La vigilance, des contrôles de sécurité multicouches et une équipe formée restent la meilleure défense contre les cybermenaces en constante évolution.

messages

Les messages suivants associés à Ransomware SamSam ont été trouvés:

What happened to your files?

All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption”

How to recover files?

RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.

How to get private key?

You can get your private key in 3 easy steps:

1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs.

2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment

3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered

With buying the first key you will find that we are honest

Tendance

Arnaque par e-mail : le mot de passe du compte est...

Hameçonnage, Courrier indésirable
Les escrocs continuent de concevoir des campagnes d'e-mails trompeuses pour inciter les utilisateurs peu méfiants à divulguer des informations sensibles. L'une de ces escroqueries circule actuellement : l'« alerte de sécurité urgente », qui se présente sous la forme d'un message intitulé « Mot de passe du compte obsolète ». Bien qu'apparemment légitimes à première vue, ces...

Le plus regardé

Chargement...