SamSam Ransomware

Malware zůstává jednou z nejnaléhavějších hrozeb pro jednotlivce i organizace. Kyberzločinci neustále inovují a vyvíjejí nové útočné strategie, jejichž cílem je zneužít zranitelnosti a získat nezákonný přístup k citlivým datům. Mezi těmito hrozbami vyniká SamSam Ransomware jako obzvláště nebezpečný kmen, a to především proto, že se odchyluje od obvyklých metod infekce založených na phishingu. Pochopení toho, jak funguje, a implementace robustních bezpečnostních opatření je nezbytná pro ochranu vašich systémů.

Co je ransomware SamSam?

Ransomware SamSam, známý také jako Samas nebo SamsamCrypt, byl poprvé zjištěn mezi koncem roku 2015 a začátkem roku 2016 a rychle si získal nechvalnou známost díky svým cíleným útokům na kritická odvětví, včetně zdravotnictví, dopravy, vzdělávání a místních samospráv. Na rozdíl od typických ransomwarových kampaní, které se spoléhají na taktiky sociálního inženýrství, SamSam využívá přímé zneužívání sítě.

Ačkoli se původně předpokládalo, že malware pochází z východní Evropy, vyšetřování později spojilo malware s íránskými kyberzločinci, přičemž v roce 2018 byly obžalovány dvě osoby. Jeho dopad je globální, s dokumentovanými útoky ve Spojených státech, Velké Británii, Francii, Portugalsku, Austrálii, Kanadě a na Středním východě.

Známé útočné kampaně

Ministerstvo dopravy Colorada
V únoru 2018 čelilo Ministerstvu dopravy státu Colorado velkému narušení, když SamSam zašifroval jeho systémy a požadoval platbu v bitcoinech. Ministerstvo dopravy státu Colorado odmítlo vyhovět a vynaložilo odhadem 1,7 milionu dolarů na úsilí o obnovu dat.

Místní samospráva Atlanty
V březnu 2018 bylo město Atlanta paralyzováno útokem SamSam provedeným hrubou silou v protokolu Remote Desktop Protocol (RDP). Ovlivněny byly služby od veřejných služeb až po soudní systém. Útočníci požadovali 51 000 dolarů v bitcoinech, ale město to odmítlo a nakonec vynaložilo 2,7 milionu dolarů na nápravu.

Hity ve zdravotnictví
SamSam obzvláště sužoval odvětví zdravotnictví, mezi jehož významné oběti patřily společnosti Allied Physicians of Michiana, Hancock Health a Allscripts. Jen v roce 2018 se na zdravotnictví podílela čtvrtina všech známých útoků SamSam.

Jak funguje ransomware SamSam?

Na rozdíl od ransomwaru šířeného prostřednictvím phishingových e-mailů nebo škodlivých příloh využívá SamSam zranitelné systémy a odcizené přihlašovací údaje. Podle Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) útočníci zneužívají slabiny serverů Windows a získávají vzdálený přístup prostřednictvím:

• Odhalená nebo neopravená připojení RDP
• Zakoupené nebo hrubě vynucené přihlašovací údaje

Jakmile se útočníci dostanou dovnitř, zvýší oprávnění, ručně nasadí malware a zašifrují kritické soubory. Tento praktický přístup umožňuje přesné cílení a rozsáhlé škody v napadených sítích.

Výkupné a platební taktiky

Po dokončení šifrování zanechají operátoři SamSamu výkupné s pokynem obětem ke komunikaci prostřednictvím portálu založeného na platformě Tor. Platby jsou požadovány v bitcoinech a ačkoli některé oběti po zaplacení obdržely dešifrovací klíče, neexistuje žádná záruka, že útočníci dohodu dodrží.

Je SamSam stále hrozbou?

Přestože medializované útoky po roce 2018 ustoupily a klíčoví operátoři byli zatčeni, neexistují žádné důkazy o tom, že by ransomware byl vymýcen. Neexistuje žádný oficiální dešifrovací nástroj, což znamená, že SamSam by měl být stále považován za aktivní riziko.

Posilte svou obranu: Nejlepší bezpečnostní postupy

Prevence infekce SamSam vyžaduje proaktivní bezpečnostní strategii zaměřenou na odstranění zranitelností, které SamSam zneužívá. Zde jsou základní kroky, které by měla každá organizace zavést:

1. Zabezpečený a auditovaný přístup RDP

• Pokud není potřeba, zakažte RDP.
• Pro nezbytné služby RDP vynucujte silné ověřování a omezte přístup na důvěryhodné IP adresy.
• Pro odstranění zneužitelných chyb okamžitě nainstalujte nejnovější bezpečnostní záplaty.

2. Prosazovat princip nejmenších privilegií

• Omezte uživatelská oprávnění pouze na základní funkce.
• Používejte řízení přístupu na základě rolí, abyste zabránili rozsáhlému poškození z jediného napadeného účtu.

3. Přijměte silná hesla a zásady ověřování

• Strategie pro silná hesla by měla zahrnovat:
• Kombinace velkých a malých písmen, číslic a speciálních znaků.
• Pravidelné změny hesla a zákaz opětovného použití.
• Časté chyby, kterým se vyhnout:
• Sdílení přihlašovacích údajů s ostatními.
• Zakázání vícefaktorového ověřování (MFA).
• Ukládání hesel do nezabezpečených souborů.

4. Pravidelně zálohujte

• Uchovávejte zálohy offline nebo v segmentovaných sítích.
• Pravidelně testujte postupy obnovy, abyste zajistili jejich účinnost.

Závěrečné myšlenky

Ransomware SamSam slouží jako drsná připomínka toho, že útoky ransomwaru se nespoléhají vždy na podvádění uživatelů, ale často zneužívají technické slabiny. Organizace, které nedokážou zabezpečit svá RDP připojení, vynucovat silná ověřovací opatření nebo udržovat řádné zálohy, riskují, že se stanou dalším tématem novin. Bdělost, vrstvené bezpečnostní kontroly a vzdělaní pracovníci zůstávají nejlepší obranou proti vyvíjejícím se kybernetickým hrozbám.