Deux ressortissants iraniens viennent d'être inculpés aux États-Unis pour leur rôle supposé dans la création et le déploiement du ransomware au nom de SamSam. Selon le département américain de la Justice, ce rançongiciel a été créé en décembre 2015 et a été amélioré en juin et octobre 2017.
En ciblant plus de 200 victimes, dont des hôpitaux, municipalités, écoles et organismes publics aux États-Unis et au Canada, SamSam aurait recueilli pour plus de 6 millions de dollars en rançons (cryptomonnaies) et serait à l'origine de dommages évalués à plus de 30 millions de dollars.
Les deux inculpés sont dans la nature et recherchés par le FBI. Ils seraient actuellement à Téhéran. Autant dire qu'une éventuelle extradition vers les États-Unis est pour le moins compromise. Toutefois, il ne s'agit pas d'une affaire de ransomware avec le soutien d'un État.
Dans son rapport SophosLabs 2019 sur les menaces (PDF), Sophos souligne pour SamSam des attaques ciblées et avec l'attente du moment opportun (comme tard le vendredi soir d'un week-end de congés) avant de déclencher l'assaut. Les échanges avec les victimes se faisaient via le réseau Tor.
Pour maximiser le succès de SamSam, les attaquants ont été sélectifs dans le choix de leurs cibles en visant des machines faciles à compromettre comme point d'entée. Il est ainsi majoritairement fait mention d'attaques de type RDP (Remote Desktop Protocol) par force brute au niveau des mots de passe. Et donc des mots de passe faibles.
Ce point d'entrée permettait d'installer " manuellement " SamSam et de lancer l'infection et le chiffrement de données sur d'autres ordinateurs du réseau. C'est assez atypique pour un ransomware. Généralement, c'est par le biais du phishing qu'il y a des tentatives pour infiltrer un système.
