# SamSam > Tipo: **malware** · S0370 · [MITRE ATT&CK](https://attack.mitre.org/software/S0370) ## Descrição [[s0370-samsam|SamSam]] (também conhecido como Samas) é um ransomware que surgiu no início de 2016 e se tornou amplamente conhecido por uma série de ataques de alto perfil contra hospitais, governos municipais e infraestrutura crítica nos Estados Unidos. Em novembro de 2018, o Departamento de Justiça dos EUA indiciou dois cidadãos iranianos pelo desenvolvimento e operação do SamSam, atribuindo ao grupo mais de 6 milhões de dólares em pagamentos de resgaté e prejuízos superiores a 30 milhões de dólares para as vítimas. Ao contrário de ransomwares autopropagáveis ou distribuídos em massa via email, o [[s0370-samsam|SamSam]] se distingue por exigir que os operadores interajam manualmente com o malware para executar seus componentes principais - tornando-o um precursor do modelo de "ransomware operado por humanos" que se tornaria dominante com grupos como Ryuk e LockBit. O acesso inicial era tipicamente obtido via exploração de vulnerabilidades em servidores expostos à internet (RDP, JBoss, etc.), seguida de reconhecimento extenso da rede antes da ativação da criptografia. O [[s0370-samsam|SamSam]] utiliza criptografia RSA-2048 para proteger a chave AES usada na criptografia dos arquivos, e implementa inserção de código inútil ([[t1027-016-junk-code-insertion|T1027.016]]) para dificultar análise e criação de assinaturas. O componente de loader do malware exige uma senha digitada pelo operador em tempo de execução, o que significa que mesmo que o binário sejá capturado pelos defensores, a ativação sem a senha não é possível - uma inovação de segurança operacional significativa para a época. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1027-016-junk-code-insertion|T1027.016 - Junk Code Insertion]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] ## Detecção - Priorizar proteção de servidores RDP expostos à internet (VPN, MFA, bloqueio de IP por geolocalização) - Monitorar tentativas de força bruta em serviços de autenticação remotos (RDP, SSH, VPN) - Alertar sobre criptografia em massa de arquivos por processos não relacionados a soluções de backup legítimas - Implementar segmentação de rede para limitar propagação de ransomware após comprometimento inicial de servidor - Manter backups offline e verificar periodicamente a integridade dos backups de sistemas críticos ## Relevância LATAM/Brasil O modelo operacional do [[s0370-samsam|SamSam]] - acesso via serviços expostos, operação manual, foco em hospitais e governo - é diretamente aplicável ao contexto brasileiro. Hospitais públicos brasileiros frequentemente expõem serviços RDP à internet sem autenticação multifator, e o setor de saúde brasileiro já foi alvo de ataques de ransomware com padrão similar. A indiciação de operadores iranianos demonstra que ameaças de ransomware podem ter componentes geopolíticos, o que é relevante para o planejamento de inteligência de ameaças de organizações brasileiras estratégicas. ## Referências - [MITRE ATT&CK - S0370](https://attack.mitre.org/software/S0370)