SAMSAM ransomware berichtgeving

We zien op dit moment diverse berichtgeving in de media over de SAMSAM ransomware. Aanleiding hiervoor is het door Fox-IT gepubliceerde bericht over recente besmettingen met deze ransomware. Iets wat wellicht niet helemaal duidelijk is, is de wijze waarop de eerste besmetting plaatsvindt. Met dit bericht willen u we hier graag aanvullend over informeren.

SAMSAM is geen nieuwe ransomware campagne en stamt reeds uit 2015. Deze is in de afgelopen jaren wel doorontwikkeld en daarmee geavanceerder geworden. De werkwijze bij de besmetting die we tot nu toe gezien hebben, is dat de eerste besmetting plaatsvindt door een RDS server te besmetten die rechtstreeks via het internet toegankelijk is. Hierbij wordt zowel gebruik gemaakt van brute force (het proberen van verschillende naam- en wachtwoordcombinaties) als van het misbruiken van kwetsbaarheden in de RDP protocol. Nadat de extern toegankelijke machine besmet is, zal de ransomware zich intern proberen te verspreiden naar andere machines binnen het netwerk. Er zijn bij ons nog geen gevallen bekend waarbij besmetting is ontstaan via een reguliere gebruiker door het openen van een geinfecteerde webpagina of schadelijke bijlage bij de e-mail.

Vanuit de standaard werkwijze die we binnen Promax hanteren, raden we onze klanten af om RDS machines rechtstreeks via het internet toegankelijk te maken. Het advies is om hierbij altijd gebruik te maken van een hiervoor geschikte gateway of vpn oplossing.

We zien op dit moment dan ook geen noodzaak om alarm te slaan, maar adviseren om waakzaam te zijn en periodiek deze pagina te raadplegen voor mogelijke updates.

Maatregelen

voor deze ransomware campagne zijn wat ons betreft naast de standaard best practices op dit moment geen aanvullende maatregelen aanbevolen.

De standaard maatregelen die in het algemeen aan te bevelen zijn om de potentiele impact of kans op besmetting te beperken zijn:

  • Gebruik sterke wachtwoorden en wijzig deze periodiek, ook uw beheeraccounts
  • Pas voor externe toegang altijd een vorm van sterke of multifactor authenticatie toe
  • Zorg voor structureel onderhoud en installatie van updates
  • Ontsluit interne informatiesystemen enkel via een daarvoor geschikte voorziening zoals bijvoorbeeld vpn of een gateway

mocht u naar aanleiding van de berichtgeving nog vragen hebben neemt u dan gerust contact op met ons securityteam voor advies en/of begeleiding.