Het Amerikaanse openbaar ministerie heeft twee Iraanse mannen aangeklaagd op verdenking van het ontwikkelen en verspreiden van de SamSam-ransomware. SamSam verschilt van de meeste andere ransomware dat het gericht bij organisaties wordt geïnstalleerd en zeer grote gevolgen kan hebben.

Een ander verschil is dat SamSam niet alleen documenten, afbeeldingen en andere persoonlijk of werkgegevens versleutelt, maar ook configuratie- en databestanden die voor applicaties zoals Microsoft Office zijn vereist. Daardoor kunnen organisaties die alleen maar documenten back-uppen getroffen machines niet herstellen zonder die eerst te reimagen. Ook verwijdert of versleutelt SamSam allerlei back-upbestanden op besmette machines.

De aanvallers achter SamSam maken gebruik van bruteforce-aanvallen op het Remote Desktopprotocol (RDP) van Windows om toegang tot een machine te krijgen. Daarvandaan wordt vervolgens de rest van het bedrijfsnetwerk geïnfecteerd. In het verleden werden ook kwetsbare JBoss-applicatieservers als startpunt voor een aanval gebruikt. De FBI stelt dan ook dat zowel eindgebruikers als organisaties ervoor moeten zorgen dat hun systemen goed zijn beveiligd.

Volgens de aanklacht zijn meer dan 230 organisaties en bedrijven met SamSam besmet geraakt en betaalden slachtoffers 6 miljoen dollar losgeld om weer toegang tot hun bestanden te krijgen. De schade die SamSam bij getroffen organisaties veroorzaakte wordt geschat op 30 miljard dollar. Het grootste deel van de slachtoffers bevindt zich in de Verenigde Staten (74 procent), maar één procent van de slachtoffers zou zich in Nederland bevinden, aldus anti-virusbedrijf Sophos. Eerder dit jaar werden een ministerie van de staat Colorado, Davidson County, de stad Atlanta, een Amerikaanse zorgverlener en het bloedtestlab LabCorp door deze ransomware getroffen.

Het Amerikaanse openbaar ministerie stelt dat de twee verdachten de eerste versie van SamSam in december 2015 hebben ontwikkeld en in juni en oktober 2017 met verbeterde versies kwamen. De twee mannen zouden de aanvallen opzettelijk buiten kantooruren uitvoeren, zodat het voor slachtoffers lastiger was om de aanval af te slaan, aldus de aanklacht. Doordat ook back-ups werden versleuteld verstoorde SamSam vaak de bedrijfsvoering van de getroffen bedrijven. Beide mannen worden nu door de VS gezocht. Zowel de Amerikaanse als Britse autoriteiten waren bij het onderzoek naar de verdachten betrokken.