Le ransomware ciblé

Les moyens traditionnels utilisés par un ransomware pour infecter des systèmes passent par des téléchargeurs malveillants distribués au moyen de téléchargements non sollicités, et de messages de spam malveillants. Une fois que l'ordinateur est infecté par un téléchargeur malveillant, celui-ci télécharge un malware complémentaire qui souvent contient un crypto-ransomware. Les messages électroniques malveillants contiennent différents types de fichiers joints qui, s'ils sont ouverts, téléchargent et exécutent l'une des nombreuses variantes de ransomware capables de lancer le processus de chiffrement. Une fois que les fichiers ont été chiffrés, une rançon est demandée à la victime en échange du déchiffrement des fichiers.

Samsam, contrairement aux ransomwares plus conventionnels, ne s'introduit pas au travers de téléchargements non sollicités ou de messages électroniques. Les attaquants qui se cachent derrière Samsam utilisent des outils tels que  Jexboss  pour identifier des serveurs non protégés exécutant les produits de l'entreprise JBoss de Red Hat.

Lorsque les attaquants ont effectivement accédé à l'un de ces serveurs en exploitant les vulnérabilités de Jboss, ils utilisent librement les outils et les scripts disponibles pour collecter des identifiants et réunir des informations sur les ordinateurs du réseau. Ils déploient ensuite leur ransomware pour chiffrer les fichiers présents sur les systèmes avant de demander une rançon.

Le ransomware Samsam diffère également des autres par le fait que les agresseurs génèrent eux-mêmes la paire de clés RSA. La plupart des crypto-ransomwares contactent un serveur de contrôle et de commande qui va générer la paire de clés RSA et renvoyer la clé publique afin de chiffrer les fichiers des ordinateurs infectés. Avec Samsam, les attaquants génèrent la paire de clés et téléchargent la clé publique avec le ransomware sur les ordinateurs infectés.