SamSami lunavara

Pahavara on endiselt üks pakilisemaid ohte nii üksikisikutele kui ka organisatsioonidele. Küberkurjategijad teevad pidevalt uuendusi, töötades välja uusi rünnakustrateegiaid, mis on loodud haavatavuste ärakasutamiseks ja tundlikele andmetele ebaseadusliku juurdepääsu saamiseks. Nende ohtude hulgas paistab SamSam lunavara eriti ohtliku tüvena silma, peamiselt seetõttu, et see erineb tavapärastest andmepüügil põhinevatest nakatamismeetoditest. Selle toimimise mõistmine ja tugevate turvameetmete rakendamine on teie süsteemide turvalisuse tagamiseks hädavajalik.

Mis on SamSami lunavara?

Esmakordselt 2015. aasta lõpus ja 2016. aasta alguses tuvastatud lunavara SamSam, tuntud ka kui Samas või SamsamCrypt, saavutas kiiresti kurikuulsa tuntuse oma sihipäraste rünnakute poolest kriitiliste sektorite, sealhulgas tervishoiu, transpordi, hariduse ja kohalike omavalitsuste vastu. Erinevalt tüüpilistest lunavarakampaaniatest, mis tuginevad sotsiaalse manipuleerimise taktikale, kasutab SamSam otsest võrgu ärakasutamist.

Kuigi algselt arvati, et pahavara pärineb Ida-Euroopast, seostati uurimise käigus pahavara hiljem Iraani küberkurjategijatega ning 2018. aastal esitati süüdistus kahele isikule. Selle mõju on olnud ülemaailmne, dokumenteeritud rünnakuid on toimunud Ameerika Ühendriikides, Ühendkuningriigis, Prantsusmaal, Portugalis, Austraalias, Kanadas ja Lähis-Idas.

Kurikuulsad rünnakukampaaniad

Colorado transpordiministeerium
2018. aasta veebruaris seisis Colorado transpordiministeerium silmitsi suure häirega, kui SamSam krüpteeris nende süsteemid ja nõudis makseid Bitcoinides. Keeldudes nõuet täitmast, kulutas CDOT taastamismeetmetele hinnanguliselt 1,7 miljonit dollarit.

Atlanta kohalik omavalitsus
2018. aasta märtsis halvas Atlanta linna SamSami rünnak, mis viidi läbi brute-force sissetungi kaudu linna Remote Desktop Protocol (RDP) süsteemi. Rünnak mõjutas mitmesuguseid teenuseid alates kommunaalteenustest kuni kohtusüsteemini. Ründajad nõudsid 51 000 dollarit Bitcoinides, kuid linn keeldus ja kulutas lõpuks parandusmeetmetele 2,7 miljonit dollarit.

Tervishoiusektori hitid
SamSam vaevas eriti tervishoiutööstust, mille märkimisväärsete ohvrite hulgas olid Allied Physicians of Michiana, Hancock Health ja Allscripts. Ainuüksi 2018. aastal moodustas tervishoid veerandi kõigist teadaolevatest SamSami rünnakutest.

Kuidas SamSami lunavara töötab?

Erinevalt lunavarast, mis levib andmepüügikirjade või pahatahtlike manuste kaudu, kasutab SamSam ära haavatavaid süsteeme ja varastatud mandaate. Küberjulgeoleku ja infrastruktuuri turvalisuse ameti (CISA) andmetel kasutavad ründajad ära Windowsi serverite nõrkusi ja saavad kaugjuurdepääsu järgmistel viisidel:

• Avatud või parandamata RDP-ühendused
• Ostetud või sunniviisiliselt hangitud sisselogimisandmed

• JBossi rakenduste jaoks mõeldud ärakasutamise tööriistad nagu JexBoss

Kui ründajad on võrgus, laiendavad nad õigusi, juurutavad pahavara käsitsi ja krüpteerivad kriitilised failid. See praktiline lähenemisviis võimaldab täpset sihtimist ja laialdast kahju tekitamist ohustatud võrkudes.

Lunaraha märkus ja maksetaktika

Pärast krüpteerimise lõpetamist jätavad SamSami operaatorid ohvritele lunarahanõude, milles juhendavad neid suhtlema Tor-põhise portaali kaudu. Makseid nõutakse Bitcoinides ja kuigi mõned ohvrid on pärast maksmist dekrüpteerimisvõtmed saanud, pole mingit garantiid, et ründajad lepingut täidavad.

Kas SamSam on endiselt oht?

Kuigi avalikustatud rünnakud vähenesid pärast 2018. aastat ja peamised operaatorid arreteeriti, pole tõendeid selle kohta, et lunavara oleks likvideeritud. Ametlikku dekrüpteerimisvahendit pole olemas, mis tähendab, et SamSami tuleks endiselt pidada aktiivseks riskiks.

Tugevdage oma kaitset: parimad turvapraktikad

SamSami nakkuse ennetamine nõuab ennetavat turvastrateegiat, mis keskendub haavatavuste sulgemisele. Siin on olulised sammud, mida iga organisatsioon peaks rakendama:

1. Turvaline ja auditeeritav RDP-juurdepääs

• Keelake RDP, kui seda pole vaja.
• Vajalike RDP-teenuste puhul jõustage tugev autentimine ja piirake juurdepääsu usaldusväärsetele IP-aadressidele.
• Rakendage viivitamatult uusimad turvapaigad, et kõrvaldada ärakasutatavad vead.

2. Vähima privileegi põhimõtte jõustamine

• Piirake kasutajaõigusi ainult oluliste funktsioonidega.
• Kasutage rollipõhist juurdepääsukontrolli, et vältida ühe ohustatud konto põhjustatud laialdast kahju.

3. Tugevate paroolide ja autentimispoliitikate kasutuselevõtt

• Tugev paroolistrateegia peaks sisaldama järgmist:
• Suur- ja väiketähtede, numbrite ja erimärkide segu.
• Regulaarsed paroolivahetused ja taaskasutamise keeld.
• Levinud vead, mida vältida:
• Volituste jagamine teistega.
• Mitmefaktorilise autentimise (MFA) keelamine.
• Paroolide salvestamine kaitsmata failidesse.

4. Hoidke regulaarselt varukoopiaid

• Hoidke varukoopiaid võrguühenduseta või segmenteeritud võrkudes.
• Testige taastamisprotseduure perioodiliselt, et tagada nende tõhusus.

Lõppmõtted

SamSami lunavara tuletab teravalt meelde, et lunavararünnakud ei tugine alati kasutajate petmisele, vaid kasutavad sageli ära tehnilisi nõrkusi. Organisatsioonid, mis ei suuda oma RDP-ühendusi turvata, tugevaid autentimismeetmeid rakendada või korralikke varukoopiaid säilitada, riskivad sattuda järgmiseks pealkirjaks. Valvsus, kihiline turvakontroll ja haritud tööjõud on endiselt parim kaitse arenevate küberohtude vastu.