Identificati gli autori del ransomware SamSam

Dic 03, 2018 Marco Schiaffino In evidenza, Malware, News, RSS, Scenario 0

I due cittadini iraniani sono responsabili di una serie di attacchi estremamente mirati che hanno interessato a grandi aziende ed enti pubblici.

Non tutti i ransomware sono uguali e non solo sotto un profilo tecnico: accanto ai tanti gruppi di cyber-criminali che si sono gettati nel business dell’estorsione digitale avviando campagne di distribuzione di malware tramite email e attacchi di massa indiscriminati, c’è infatti un ristretto gruppo di pirati che ha deciso di optare per una strategia decisamente più raffinata.

Tra questi ci sono i pirati legati a SamSam, un cripto-ransomware che, come abbiamo spiegato in questo articolo, avrebbe consentito ai suoi autori di incassare una somma che lo scorso agosto gli esperti di sicurezza avevano stimato più di 6 milioni di dollari.

Ora sembra che i criminali abbiano un nome e un cognome. Secondo quanto dichiara l’FBI, infatti, si tratterebbe di due cittadini iraniani: Mohammad Mehdi Shah Mansouri e Faramarz Shahi Savandi.

La loro tecnica è estremamente sofisticata e gli attacchi pianificati accuratamente. Prima di colpire, infatti, i cyber-criminali studiano attentamente il bersaglio alla ricerca di vulnerabilità nei sistemi informatici che gli consentano di violare la rete.

Una volta trovato un punto di accesso, inoculano il ransomware che a quel punto si diffonde su tutti i computer raggiungibili nella rete locale.

Obiettivo: aziende ed enti pubblici (come ospedali e municipi) che si trovano a dover fronteggiare una situazione di crisi gravissima, come accaduto per il comune di Atlanta o per l’ospedale Hancock Health, che nel gennaio scorso ha ceduto al ricatto dei pirati nonostante avesse un backup di tutti i dati.

La strategia degli autori di SamSam, oltre a prevedere la scelta di obiettivi che si trovano in una condizione in cui sono indotti a cedere al ricatto per evitare gravi danni, consente anche ai pirati di guadagnare molto più dei loro “colleghi”. Le richieste di riscatto, infatti, erano particolarmente esose: dagli 8.000 ai 50.000 dollari per computer.

In seguito all’individuazione dei due presunti responsabili degli attacchi da parte dell’FBI, si è arrivati anche all’individuazione di tutti i depositi in Bitcoin a loro riferibili (gli indirizzi sono due: 1AjZPMsnmpdK2Rv9KQNfMurTXinscVro9V e 149w62rY42aZBox8fGcmqNsXUzSStKeq8C) che al momento ammontano alla bellezza di 5.901 Bitcoin, pari a oltre 23 milioni di dollari.

Tra le conseguenze dell’individuazione dei due pirati informatici, però, ce n’è anche una piuttosto paradossale. Mansouri e Savandi sono stati infatti inseriti dal Dipartimento di Giustizia in una lista speciale, chiamata Specially Designated Nationals And Blocked Persons List o SDN.

Si tratta di una lista in cui l’amministrazione USA registra gli individui che hanno collegamenti con gruppi terroristici o bande di narcotrafficanti e che vengono “isolati” impedendo a chiunque di avere rapporti commerciali con loro, pena una sanzione pecuniaria.

Insomma: da oggi chiunque venga colpito dal ransomware SamSam e decidesse di pagare il riscatto, rischierebbe anche una sanzione da parte dell’amministrazione degli Stati Uniti.

Stando a quanto scrive Bleeping Computer, il precedente potrebbe in futuro avere un pesante impatto anche sul mondo della sicurezza.

Le società che si occupano del recupero dei dati “sequestrati” dai ransomware, infatti, agiscono spesso come intermediari tra le vittime e i pirati informatici per trattare la quantificazione del riscatto e gestirne il pagamento.

Una prassi che ha fatto storcere il naso a molti e che adesso potrebbe diventare in ogni caso impraticabile, dal momento che le aziende in questione rischierebbero di essere multate.

Condividi l'articolo