Il ransomware mirato

I metodi convenzionali con cui il ransomware infetta i sistemi si avvalgono di strumenti di download nocivi che vengono distribuiti tramite download drive-by ed e-mail spam nocive. Una volta che il sistema di un utente viene infettato, lo strumento di download nocivo scarica un ulteriore malware, che spesso include ransomware crittografato. Le e-mail nocive contengono vari tipi di file allegati, che se vengono aperti, scaricano ed eseguono una delle numerose varianti di ransomware per avviare il processo di crittografia. Dopo che i file sono stati crittografati, alla vittima viene chiesto il pagamento di un riscatto per poterli decrittografare.

Samsam, diversamente dal ransomware più convenzionale, non viene distribuito tramite download drive-by o e-mail. Invece, i criminali informatici che gestiscono Samsam utilizzano strumenti come  Jexboss  per identificare server privi di patch che eseguono prodotti JBoss Enterprise di Red Hat.

Una volta ottenuto l'accesso a uno di questi server sfruttando le vulnerabilità presenti in JBoss, essi utilizzano altri strumenti e script liberamente disponibili per raccogliere credenziali e acquisire informazioni sui computer in rete. Quindi distribuiscono il loro ransomware per crittografare i file su questi sistemi prima di chiedere il riscatto.

Samsam si differenzia da altri ransomware per il fatto che sono i criminali informatici a generare la coppia di chiavi RSA. La maggior parte del ransomware crittografico contatterà un server di comando e controllo, il quale provvederà a generare una coppia di chiavi RSA e restituirà la chiave pubblica per crittografare i file sui computer infettati. Nel caso di Samsam, i criminali informatici generano la coppia di chiavi e caricano la chiave pubblica insieme al ransomware sui computer colpiti.