El FBI y Microsoft advierten sobre el ransomware Samas.


El Ransomware se dirige a redes corporativas, no sólo a usuarios domésticos.



Una nueva familia ransomware ha causado suficiente daño para que Microsoft y el FBI tomen nota de sus acciones, emitiendo un anuncio público en su sitio para advertir a las empresas de los peligros que rodean a esta nueva amenaza en los Estados Unidos.

Detectado bajo los nombres de Samas , Kazi, o RDN / Ransom, este ransomware ha estado activo sólo en los últimos tres meses, y además de infectar a algunos usuarios en Europa, China y la India, ha hecho sentir su impacto en los EE.UU. más que en cualquier otro sitio.


Samas aprovecha el software para servidor JBOSS para propagarse a redes enteras

De acuerdo con el Centro de protección contra el malware de Microsoft , una infección de Samas inicia cuando el atacante detecta un servidor vulnerable. El FBI dice que en la mayoría de los casos el ataque se inicia cuando un servidor ejecuta una instalación de JBOSS obsoleta, pero Microsoft afirmó que el atacante utiliza también vulnerabilidades en aplicaciones Java a causa de la utilización directa de JNI insegura (Java Native Interface).


Después de vulnerar y penetrar en un servidor vulnerable, los ladrones detrás de Samas están utilizando una herramienta de código abierto llamado reGeorg para escanear y después mapear las redes internas.

Los atacantes luego dispersan el RAT Derusbi (Bladabindi) en el servidor infectado. Este troyano recoge información de acceso para los clientes de una red, y luego usando una herramienta de terceros llamado psexec.exe y una serie de secuencias de comandos por lotes, se desplegará la carga útil final, el ransomware Samas, a las PC de la red interna.

Samas utiliza una fuerte encriptación RSA-2048

Una vez en los ordenadores de las víctimas, Samas se inicia mediante la búsqueda de una serie de archivos de datos basándose en una lista interna de extensiones específicas, y luego cifrará su contenido con el algoritmo RSA-2048.

La extensión "encrypted.RSA" se añade al final de cada archivo infectado, y una nota de rescate se deja en cada carpeta en la que se halla el ransomware y los archivos bloqueados.


Samas pide 1 Bitcoin (~ $ 400) por la PC infectada y requiere el pago a través de un sitio web por medio de Tor. Microsoft señaló que durante sus primeras etapas, los delincuentes utilizaban un blog de WordPress.com para gestionar el pago de los rescates, pero luego decidieron dar el servicio mediante la dark web, probablemente temiendo un desmontaje fácil de los organismos del orden.

Otra peculiaridad es que el ransomware Samas se inicia mediante una aplicación llamada vssadmin.exe que elimina los archivos respaldo del disco duro y los archivos de copia de seguridad del sistema, en un intento de hacer más difícil para los usuarios restaurar versiones antiguas de sus datos.

Samas es un nuevo tipo de ransomware

En comparación con otras familias de ransomware que aprovechan el método automatizado de distribución que implican el spam o publicidad maliciosa, Samas adopta un enfoque de la vieja escuela que requiere mayor tiempo de barrido y de hacking personalizado.

Una razón para utilizar un proceso tan complicado es que los atacantes se dirigen a redes corporativas privadas, donde pueden encontrar datos muy valiosos, por los cuales las empresas podrían estar dispuestas a pagar para recuperarlos.

Esto nos lleva a pensar que Samas fue desarrollado y es administrado por personas con conocimientos técnicos avanzados y que tienen bastante experiencia en la prestación y gestión de campañas del ransomware.

Fuente: Softpedia