De afgelopen maanden is er sprake van een uitbraak van SamSam gijzelsoftware. Deze geraffineerde variant van ransomware is momenteel actief in Nederland en heeft al tientallen bedrijven slachtoffer gemaakt.

Wat is SamSam?

Veel bedrijven in Nederland besteden hun IT uit aan één of meerdere externe leveranciers. Deze leveranciers bevinden zich vaak niet op de dezelfde locatie als het bedrijf die de diensten afneemt. Om er toch voor te zorgen dat de IT leveranciers toegang kunnen krijgen tot je bedrijfscomputers wordt veel gebruik gemaakt van toegang op afstand, de standaard Remote Desktop (RDP) functie in Windows. Dit doen zij om bijvoorbeeld onderhoud uit te voeren of nieuwe software te installeren.

Aanvallers die gebruik maken van SamSam gijzelsoftware gaan zeer doortrapt te werk. De aanvallers slaan niet direct toe, maar doen eerst goed onderzoek naar het potentiële slachtoffer. Wanneer een Windows bedrijfscomputer ontdekt is zal SamSam controleren of er gebruik wordt gemaakt van de RDP functie. Als dat het geval is zal de gijzelsoftware bestaande kwetsbaarheden benutten en verder proberen binnen te dringen door geautomatiseerd wachtwoorden te raden. Dit alles om zo veel mogelijk schade aan te kunnen richten. Vervolgens verwijdert de gijzelsoftware de back-ups in alle stilte, zodat de besmetting niet ongedaan gemaakt kan worden. Als dat is gebeurd worden de bestanden vergrendeld. Doordat de back-ups zijn verwijderd vergroot de aanvaller de kans dat het slachtoffer zal betalen.

Advies

Net als andere varianten van ransomware zal de aanvaller vragen om een betaling te doen via Bitcoin. Het losgeld kan zelfs oplopen tot enkele tonnen. Het Digital Trust Center adviseert om de criminelen niet te betalen. Betalen geeft geen enkele garantie op een werkende oplossing en je beloont criminelen voor hun gedrag. Computerbestanden blijven vaak versleuteld, zelfs als er betaald is. Ben je slachtoffer geworden van een cyberaanval? Doe dan altijd aangifte bij de politie.

Voorzorgsmaatregelen

• Neem bij twijfel meteen contact op met de ICT-helpdesk van je IT-leverancier en vraag of er voor jouw organisatie gebruik wordt gemaakt van de Remote Desktop optie. Mocht dit het geval zijn dan is het veiliger om deze optie uit te laten schakelen en met je leverancier te overleggen of de werkzaamheden op locatie uitgevoerd kunnen worden;
• De kans op besmetting kan worden verkleind door besturingssystemen en programma’s altijd up-to-date te houden en door te surfen op het internet met een antivirusprogramma; 
• Maak waar mogelijk gebruik van tweestapsverificatie;
• Open geen e-mail of links in mails van vreemden en open vooral geen bijlage(n) van vreemde afzenders;
• Open geen e-mail van bekenden met links of bijlagen die je eigenlijk niet verwacht. Controleer met de verzender via een ander kanaal dan e-mail of het bestand bewust is verstuurd;
• Het is belangrijk om regelmatig back-ups van je bestanden te maken en deze niet met de computer verbonden te houden;
• Surf op een andere apparaat, bijvoorbeeld via een smartphone of tablet, naar de website van de Fraudehelpdesk. Op deze site vind je instructies over hoe ransomware verwijderd kan worden. Kom je hier niet verder mee, dan adviseren we je naar een erkend IT specialist te gaan.

Nieuwsbericht | 03-12-2018 | 16:58: https://www.digitaltrustcenter.nl/actueel/nieuws/2018/12/03/ransomware-samsam