Het herstel van een ransomware-infectie kost de Amerikaanse stad Atlanta mogelijk 17 miljoen dollar, zo meldt The Atlanta Journal-Constitution en Channel 2 Action News op basis van een vertrouwelijk rapport. Eerder was al gesteld dat de herstelkosten op mogelijk 9,5 miljoen dollar zouden uitkomen.
In maart raakten systemen van de stad besmet met de SamSam-ransomware, waardoor bepaalde interne en publieke diensten tijdelijk niet meer toegankelijk waren. Meer dan een derde van de 424 applicaties die de stad gebruikt gingen offline of waren gedeeltelijk uitgeschakeld. Bijna 30 procent van de getroffen applicaties was missiekritiek, zoals systemen voor onder andere de stadsdiensten, politie en rechtbanken. Ook ging het archief met dashcambeelden van de politie door de ransomware verloren.
De aanvallers eisten 51.000 dollar voor het ontsleutelen van de systemen. De stad besloot echter niet te betalen. Vanwege de infectie moest de stad noodcontracten afsluiten, hardware vervangen en andere maatregelen treffen. De stad heeft al besloten om 6 miljoen dollar voor het herstel uit te geven. Dit geld gaat voornamelijk naar het betalen van beveiligingsdiensten en software-upgrades. De stad zal ook 1,1 miljoen dollar aan nieuwe desktops, laptops, smartphones en tablets uitgeven, aldus het rapport.
SamSam is ransomware die bij gerichte aanvallen wordt geïnstalleerd. In tegenstelling tot veel andere ransomware versleutelt SamSam niet alleen documenten, afbeeldingen en andere persoonlijk of werkgegevens, maar ook configuratie- en databestanden die voor applicaties zoals Microsoft Office zijn vereist. Daardoor kunnen organisaties die alleen maar documenten back-uppen getroffen machines niet herstellen zonder die eerst te reimagen, aldus het anti-virusbedrijf. Ook verwijdert SamSam allerlei back-upbestanden op besmette machines.
Een ander verschil met veel ransomware-exemplaren is de manier waarop SamSam zich verspreidt. Waar de meeste ransomware via e-mailbijlagen en drive-by downloads wordt verspreid, maken de aanvallers achter SamSam gebruik van bruteforce-aanvallen op het Remote Desktopprotocol (RDP) van Windows om toegang tot een machine te krijgen. Daarvandaan wordt vervolgens de rest van het bedrijfsnetwerk geïnfecteerd. Hiervoor maken de aanvallers gebruik van hackingtools als Mimikatz en exploits om hun rechten te verhogen en toegang tot andere systemen te krijgen.
Een bekend slachtoffer van SamSam is een Amerikaans ziekenhuis dat de gevraagde 55.000 dollar losgeld besloot te betalen, aangezien dit goedkoper was dan het herstellen van alle machines. Eerder dit jaar werden ook een ministerie van de staat Colorado, Davidson County, een Amerikaanse zorgverlener en het bloedtestlab LabCorp door deze ransomware getroffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.