Onderzoek naar SamSam ransomware leidt naar GOLD LOWELL

Eind 2015 zijn onderzoekers van Secureworks Counter Threat Unit (CTU) begonnen met het traceren van financieel gemotiveerde campagnes waarbij gebruik werd gemaakt van SamSam ransomware (ook wel bekend als Samas en SamsamCrypt). Onderzoekers associëren deze activiteit met de bedreigingsgroep GOLD LOWELL. GOLD LOWELL scant en exploiteert bekende kwetsbaarheden in internetsystemen om een eerste voet aan de grond te krijgen in het netwerk van een slachtoffer. De cybercriminelen zetten vervolgens de SamSam ransomware in en eisen betaling om de dossiers van het slachtoffer te ontsleutelen.

De consistente tools en gedragingen verbonden aan SamSam intrusies sinds 2015 suggereren dat GOLD LOWELL een gedefinieerde groep of een verzameling van nauw verbonden criminelen is. Door beveiligingsupdates tijdig toe te passen en afwijkend gedrag op internetsystemen in de gaten te houden, kunnen organisaties zich effectief verdedigen tegen deze tactieken. Organisaties dienen ook reactieplannen te maken en te testen voor ransomare-incidenten en gebruik te maken van back-upoplossingen die bestand zijn tegen corruptie of versleutelingspogingen.

CTU onderzoekers hebben inzichten over het gedrag van de groep op strategisch en op tactisch niveau verworven. Managers kunnen de strategische inschatting gebruiken om de risico's voor kritische activa van hun organisatie te beperken. Netwerkbeheerders kunnen de tactische informatie uit het onderzoek gebruiken om de tijd en moeite die gepaard gaat met het reageren op de activiteiten van de dreigingsgroep te minimaliseren.