Deux études distinctes révèlent que la majorité des attaques perpétrées par le rançongiciel SamSam viseraient en priorité les établissements de santé

SamSam est un crypto-virus (rançongiciel) créé en 2015, également connu sous le nom de MSIL/Samas.A. Ce rançongiciel chiffre non seulement les documents mais aussi les fichiers de configuration et exécutables. 

Concernant son impact, deux éditeurs de logiciels américain et britannique sont arrivés à des résultats d’analyses similaires : un quart des attaques perpétrées par le rançongiciel visent les acteurs du secteur de la santé, faisant de celui-ci le secteur le plus touché. Deux hypothèses sont avancées pour justifier un tel résultat : une sécurisation perçue comme moindre et la conviction que ses établissements seront plus à même de payer la somme demandée, en raison des enjeux humains liés à leur activité.

En réponse aux nombreux incidents causés par ce rançongiciel, le Centre national d’intégration de la cybersécurité et des communications (NCCIC), le Département de la Sécurité Intérieure (DHS) et le Bureau Fédéral d’Investigation (FBI) ont publié conjointement le 3 décembre un bulletin d’alerte pour informer les responsables de la sécurité des vulnérabilités exploitées par les attaquants pour déployer ce logiciel malveillant.

Les attaquants utilisant SamSam visent spécifiquement les serveurs Windows. Pour exécuter le code malveillant, il leur est par ailleurs nécessaire d'obtenir un accès persistant au réseau. Cet accès se fait en général soit par force brute, soit par des identifiants de connexion volés ou rachetés sur le dark web.

Les résultats d’attaques analysées par le FBI révèlent que le protocole Remote Desktop Protocol (RDP) est utilisé comme vecteur d'attaque pour se connecter au serveur. Les attaquants exploitent ensuite une vulnérabilité de JBoss connue publiquement depuis 2016, en utilisant le kit d'exploitation JexBoss Exploit Kit. Cette vulnérabilité leur permet par ailleurs d'obtenir un accès permanent et légitime au réseau.

Après avoir obtenu cet accès, les attaquants élèvent ensuite leurs privilèges pour devenir administrateur du système. Ils déposent enfin le rançongiciel sur le serveur et l’exécutent, sans qu’aucune autre intervention de l’utilisateur ne soit nécessaire.

Details techniques :

Le NCCIC recommande aux organisations d'examiner les rapports d'analyse les quatre rapports ci-dessous, représentant quatre variantes de SamSam. Cette liste n'étant pas exhaustive :

Recommandations
+

Le rapport publié par les autorités américaines préconise les mesures suivantes pour prévenir ou limiter l’impact de SamSam :

  • Analyser régulièrement l’activité de son réseau pour détecter les systèmes qui utilisent RDP pour la communication à distance et désactiver ceux qui n’en font pas usage ;
  • Vérifier que toutes les instances de machines virtuelles dans le cloud avec des adresses IP publiques n'ont pas de port RDP ouvert sans pare-feu, en particulier le port 3389, et imposer aux utilisateurs un accès au système via un réseau privé virtuel (VPN) ;
  • Afin de limiter les attaques par force brute, privilégier les mots de passe forts, une politique de verrouillage de compte et privilégier l'authentification à deux facteurs ;
  • Désactiver les services de partage de fichiers et d'imprimantes par défaut  et, lorsqu’ils sont requis, utiliser une identification et une authentification centralisée (Active Directory) ;
  •  Limiter au strict nécessaire la capacité des utilisateurs à pouvoir installer et exécuter des applications tierces non autorisées.