SamSam рансъмуер

Зловредният софтуер остава една от най-належащите заплахи както за отделни лица, така и за организации. Киберпрестъпниците непрекъснато внедряват иновации, разработвайки нови стратегии за атака, предназначени да използват уязвимости и да получат незаконен достъп до чувствителни данни. Сред тези заплахи, SamSam Ransomware се откроява като особено опасен щам, главно защото се отклонява от обичайните методи за заразяване, базирани на фишинг. Разбирането как работи и прилагането на надеждни мерки за сигурност е от съществено значение за безопасността на вашите системи.

Какво е рансъмуер SamSam?

За първи път открит между края на 2015 г. и началото на 2016 г., SamSam Ransomware, известен още като Samas или SamsamCrypt, бързо спечели известност с целенасочените си атаки срещу критични сектори, включително здравеопазване, транспорт, образование и местни власти. За разлика от типичните рансъмуер кампании, които разчитат на тактики на социално инженерство, SamSam използва директна мрежова експлоатация.

Въпреки че първоначално се смяташе, че зловредният софтуер произхожда от Източна Европа, разследванията по-късно свързват зловредния софтуер с ирански киберпрестъпници, като през 2018 г. са повдигнати обвинения срещу двама души. Въздействието му е глобално, с документирани атаки в Съединените щати, Обединеното кралство, Франция, Португалия, Австралия, Канада и Близкия изток.

Прословути атакуващи кампании

Министерство на транспорта на Колорадо
През февруари 2018 г. Министерството на транспорта на Колорадо се сблъска със сериозен срив, когато SamSam криптира системите му и поиска плащане в биткойн. Отказвайки да се съобрази, CDOT похарчи приблизително 1,7 милиона долара за усилия за възстановяване.

Местно самоуправление в Атланта
През март 2018 г. град Атланта беше парализиран от атака SamSam, извършена чрез груба сила на влизане в протокола за отдалечен работен плот (RDP). Засегнати бяха услуги, вариращи от комунални услуги до съдебната система. Нападателите поискаха 51 000 долара в биткойни, но градът отказа и в крайна сметка похарчи 2,7 милиона долара за отстраняване на щетите.

Хитове в сектора на здравеопазването
SamSam засегна особено здравния сектор, като сред забележителните жертви бяха Allied Physicians of Michiana, Hancock Health и Allscripts. Само през 2018 г. здравеопазването е отговорно за една четвърт от всички известни атаки срещу SamSam.

Как работи рансъмуерът SamSam?

За разлика от ransomware, разпространяван чрез фишинг имейли или злонамерени прикачени файлове, SamSam използва уязвими системи и откраднати идентификационни данни. Според Агенцията за киберсигурност и сигурност на инфраструктурата (CISA), нападателите използват слабости в Windows сървърите и получават отдалечен достъп чрез:

• Изложени или непатчирани RDP връзки
• Закупени или взети чрез груба насилствена проверка данни за вход

• Инструменти за експлоатация като JexBoss за JBoss приложения

Веднъж щом влязат вътре, нападателите повишават привилегиите, внедряват зловредния софтуер ръчно и криптират критични файлове. Този практически подход позволява прецизно насочване и широко разпространени щети в компрометираните мрежи.

Бележката за откуп и тактиките за плащане

След завършване на криптирането, операторите на SamSam оставят бележка за откуп, с която инструктират жертвите да комуникират чрез портал, базиран на Tor. Плащанията се изискват в Bitcoin и въпреки че някои жертви са получили ключове за декриптиране след плащането, няма гаранция, че нападателите ще спазят споразумението.

Все още ли SamSam е заплаха?

Въпреки че публично оповестените атаки намаляха след 2018 г. и ключови оператори бяха арестувани, няма доказателства, че рансъмуерът е бил унищожен. Не съществува официален инструмент за декриптиране, което означава, че SamSam все още трябва да се счита за активен риск.

Укрепете защитата си: Най-добри практики за сигурност

Предотвратяването на инфекция със SamSam изисква проактивна стратегия за сигурност, фокусирана върху премахването на уязвимостите, които тя използва. Ето основните стъпки, които всяка организация трябва да приложи:

1. Защитен и одитиран RDP достъп

• Деактивирайте RDP, ако не е необходим.
• За необходимите RDP услуги, наложете силно удостоверяване и ограничете достъпа до надеждни IP адреси.
• Прилагайте своевременно най-новите корекции за сигурност, за да елиминирате евентуални пропуски, които могат да бъдат използвани.

2. Прилагане на принципа на най-малките привилегии

• Ограничете потребителските разрешения само до основни функции.
• Използвайте контрол на достъпа, базиран на роли, за да предотвратите широко разпространени щети от един компрометиран акаунт.

3. Приемете силни политики за пароли и удостоверяване

• Стратегията за силна парола трябва да включва:
• Комбинация от главни и малки букви, цифри и специални символи.
• Редовна смяна на пароли и забрана за повторна употреба.
• Често срещани грешки, които трябва да се избягват:
• Споделяне на идентификационни данни с други.
• Деактивиране на многофакторно удостоверяване (MFA).
• Съхраняване на пароли в незащитени файлове.

4. Поддържайте редовни резервни копия

• Съхранявайте резервни копия офлайн или в сегментирани мрежи.
• Тествайте периодично процедурите за възстановяване, за да осигурите ефективност.

Заключителни мисли

Рансъмуер вирусът SamSam служи като сурово напомняне, че атаките с рансъмуер не винаги разчитат на измама на потребителите, а често използват технически слабости. Организациите, които не успяват да защитят своите RDP връзки, да наложат силни мерки за удостоверяване или да поддържат подходящи резервни копия, рискуват да се превърнат в следващата тема на новините. Бдителността, многопластовите контроли за сигурност и образованата работна сила остават най-добрата защита срещу развиващите се киберзаплахи.