Hoe SamSam u in de gaten houdt en gijzelt

Hoe SamSam u in de gaten houdt en gijzelt

Recentelijk heeft er een nieuwe uitbraak van gijzelsoftware plaatsgevonden met de naam “SamSam”. Wat doet SamSam nou precies en wat kan je eraan doen?

Wat is SamSam?

SamSam is een stukje software dat op een computer of server wordt geïnstalleerd door middel van een hack. Dit vindt vaak plaats via online werkplekken/computers (RDP), Java webservers en via FTP met lekken in de software. Een andere methode die wordt gebruikt is door continu verschillende inlogcombinaties te proberen (een bruteforce attack).

Fox-IT meldt in een ANP-bericht (via: NOS) dat waarschijnlijk tientallen ondernemingen in Nederland reeds zijn getroffen met de gijzelsoftware. Het is nog maar de vraag of dat het beperkt blijft tot tientallen, omdat de hackers achter de gijzelsoftware geduldig te werk gaan.

Hoe werkt SamSam?

Wanneer de hacker binnen is, wordt het virus geïnstalleerd op de computer of server. Hierna kijkt de hacker of er meer toegang hogerop kan worden verkregen in het netwerk. Deze methode wordt vaak gebruikt door hackers om meer schade aan te richten. Hierna worden backups verwijderd om herstel te voorkomen. Zodra de backups zijn verwijderd, versleuteld SamSam de bestanden op de computer of server en wordt er losgeld geëist. Wat SamSam uniek maakt is dat de hacker niet direct schade aanricht, maar geduldig op onderzoek uitgaat om zoveel mogelijk schade aan te richten.

Wat kan ik tegen SamSam doen?

Er zijn een aantal (standaard)zaken die de kans op een hack kunnen verkleinen, maar ook de kans op een succesvol herstel kunnen vergroten:

1. Loop de firewall na om foutieve configuraties op te sporen.

2. Pas zowel extern als intern firewallregels toe.

3. Werk software bij naar de nieuwste versie.

4. Maak gebruik van Two Factor Authentication waar mogelijk.

5. Maak backups en bewaar deze op een offline media.

6. Beperk schade door direct in te grijpen bij verdachte activiteiten (lees hieronder verder).

Hoe kan ik schade voorkomen of beperken?

Doordat de hackers die gebruik maken van SamSam geduldig te werk gaan en niet direct schade aanrichten, kan het moeilijk zijn om te ontdekken of zij binnen zitten in uw netwerk. Schade kan beperkt worden, wanneer u hier tijdig van op de hoogte bent.

De SecurityHive honeypot kan worden ingezet om SamSam vroegtijdig te detecteren. Het apparaat doet zich voor als een computer of server met de kwetsbare protocollen/software. Wanneer de hackers die gebruik maken van SamSam (of op andere wijze binnenkomen) proberen in te breken in uw netwerk en de honeypot raken, dan zal u direct op de hoogte worden gebracht hiervan. In de tussentijd gaat de honeypot de interactie verder aan met de hackers en houden deze zo lang mogelijk bezig, zodat u meer tijdheeft om in te grijpen.

Gemiddeld duurt het 191 dagen na binnenkomst van een hacker tot deze wordt gedetecteerd in een netwerk. Dit kan u veranderen door de SecurityHive honeypot in te zetten, volledig plug-and-play. Probeer een gratis demo.