باجافزار SamSam
بدافزار همچنان یکی از جدیترین تهدیدها برای افراد و سازمانها است. مجرمان سایبری به طور مداوم در حال نوآوری هستند و استراتژیهای حمله جدیدی را برای سوءاستفاده از آسیبپذیریها و دسترسی غیرقانونی به دادههای حساس طراحی میکنند. در میان این تهدیدات، باجافزار SamSam به عنوان یک گونه بسیار خطرناک برجسته است، در درجه اول به این دلیل که از روشهای معمول آلودگی مبتنی بر فیشینگ منحرف میشود. درک نحوه عملکرد آن و اجرای اقدامات امنیتی قوی برای ایمن نگه داشتن سیستمهای شما ضروری است.
فهرست مطالب
باجافزار SamSam چیست؟
باجافزار SamSam که با نامهای Samas یا SamsamCrypt نیز شناخته میشود، اولین بار بین اواخر سال ۲۰۱۵ و اوایل ۲۰۱۶ شناسایی شد و به سرعت به دلیل حملات هدفمند خود به بخشهای حیاتی، از جمله مراقبتهای بهداشتی، حمل و نقل، آموزش و پرورش و دولتهای محلی، شهرت یافت. برخلاف کمپینهای باجافزاری معمول که به تاکتیکهای مهندسی اجتماعی متکی هستند، SamSam از سوءاستفاده مستقیم از شبکه استفاده میکند.
اگرچه در ابتدا اعتقاد بر این بود که منشأ آن اروپای شرقی است، اما تحقیقات بعداً این بدافزار را به مجرمان سایبری ایرانی مرتبط دانست و دو نفر در سال ۲۰۱۸ متهم شدند. تأثیر آن جهانی بوده و حملات مستندی در ایالات متحده، انگلستان، فرانسه، پرتغال، استرالیا، کانادا و خاورمیانه داشته است.
کمپینهای حمله بدنام
وزارت حمل و نقل کلرادو
در فوریه ۲۰۱۸، وزارت حمل و نقل کلرادو با اختلال بزرگی مواجه شد، زمانی که SamSam سیستمهای آن را رمزگذاری کرد و درخواست پرداخت با بیتکوین نمود. CDOT با امتناع از پذیرش این درخواست، حدود ۱.۷ میلیون دلار برای تلاشهای بازیابی هزینه کرد.
دولت محلی آتلانتا
در مارس ۲۰۱۸، شهر آتلانتا توسط حملهی SamSam که از طریق ورود brute-force در پروتکل Remote Desktop (RDP) انجام شد، فلج شد. سرویسهای مختلف از خدمات رفاهی گرفته تا سیستم دادگاه تحت تأثیر قرار گرفتند. مهاجمان خواستار ۵۱۰۰۰ دلار بیتکوین شدند، اما شهرداری امتناع ورزید و در نهایت ۲.۷ میلیون دلار برای جبران خسارت هزینه کرد.
بخش بهداشت و درمان
SamSam به طور خاص صنعت مراقبتهای بهداشتی را درگیر کرد و قربانیان قابل توجهی از جمله Allied Physicians of Michiana، Hancock Health و Allscripts را به خود اختصاص داد. تنها در سال ۲۰۱۸، مراقبتهای بهداشتی یک چهارم از کل حملات شناخته شده SamSam را به خود اختصاص داد.
باجافزار SamSam چگونه عمل میکند؟
برخلاف باجافزارهایی که از طریق ایمیلهای فیشینگ یا پیوستهای مخرب منتشر میشوند، SamSam از سیستمهای آسیبپذیر و اعتبارنامههای دزدیده شده استفاده میکند. طبق گزارش آژانس امنیت سایبری و زیرساخت (CISA)، مهاجمان از نقاط ضعف سرورهای ویندوز سوءاستفاده کرده و از طریق موارد زیر به سیستم دسترسی از راه دور پیدا میکنند:
- اتصالات RDP آسیبپذیر یا وصله نشده
- اعتبارنامههای ورود خریداری شده یا با روش جستجوی فراگیر (brute-forced)
پس از ورود، مهاجمان امتیازات را افزایش میدهند، بدافزار را به صورت دستی مستقر میکنند و فایلهای حیاتی را رمزگذاری میکنند. این رویکرد عملی امکان هدفگیری دقیق و آسیب گسترده در شبکههای آسیبدیده را فراهم میکند.
یادداشت باج و تاکتیکهای پرداخت
پس از تکمیل رمزگذاری، اپراتورهای SamSam یک یادداشت باجخواهی میگذارند که به قربانیان دستور میدهد از طریق یک پورتال مبتنی بر Tor ارتباط برقرار کنند. پرداختها به صورت بیتکوین درخواست میشوند و در حالی که برخی از قربانیان پس از پرداخت، کلیدهای رمزگشایی را دریافت کردهاند، هیچ تضمینی وجود ندارد که مهاجمان به توافق پایبند باشند.
آیا SamSam هنوز یک تهدید است؟
اگرچه حملات علنی پس از سال ۲۰۱۸ کاهش یافت و اپراتورهای اصلی دستگیر شدند، اما هیچ مدرکی مبنی بر ریشهکن شدن این باجافزار وجود ندارد. هیچ ابزار رمزگشایی رسمی وجود ندارد، به این معنی که SamSam هنوز باید یک خطر فعال در نظر گرفته شود.
تقویت دفاع شما: بهترین شیوههای امنیتی
جلوگیری از آلودگی به SamSam نیازمند یک استراتژی امنیتی پیشگیرانه است که بر بستن آسیبپذیریهایی که از آنها سوءاستفاده میکند، تمرکز دارد. در اینجا مراحل ضروری که هر سازمانی باید اجرا کند، آورده شده است:
- دسترسی RDP را ایمن و ممیزی کنید
- در صورت عدم نیاز، RDP را غیرفعال کنید.
- برای سرویسهای RDP ضروری، احراز هویت قوی را اعمال کنید و دسترسی را به آدرسهای IP معتبر محدود کنید.
- برای از بین بردن نقصهای قابل سوءاستفاده، فوراً آخرین وصلههای امنیتی را اعمال کنید.
- اصل حداقل امتیاز را اجرا کنید
- مجوزهای کاربر را فقط به عملکردهای ضروری محدود کنید.
- از کنترل دسترسی مبتنی بر نقش برای جلوگیری از آسیب گسترده ناشی از یک حساب کاربریِ در معرض خطر استفاده کنید.
- سیاستهای رمز عبور و احراز هویت قوی را اتخاذ کنید
- یک استراتژی قوی برای رمز عبور باید شامل موارد زیر باشد:
- ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای ویژه.
- تغییر منظم رمز عبور و ممنوعیت استفاده مجدد از آن.
- اشتباهات رایجی که باید از آنها اجتناب کنید:
- اشتراکگذاری اعتبارنامهها با دیگران.
- غیرفعال کردن احراز هویت چند عاملی (MFA).
- ذخیره رمزهای عبور در فایلهای ناامن.
- پشتیبانگیری منظم داشته باشید
- پشتیبانها را به صورت آفلاین یا در شبکههای جداگانه نگهداری کنید.
- برای اطمینان از اثربخشی، رویههای بازسازی را به صورت دورهای آزمایش کنید.
نکات پایانی
باجافزار SamSam به عنوان یک یادآوری آشکار عمل میکند که حملات باجافزاری همیشه به فریب کاربران متکی نیستند، بلکه اغلب از نقاط ضعف فنی سوءاستفاده میکنند. سازمانهایی که در ایمنسازی اتصالات RDP خود، اجرای اقدامات احراز هویت قوی یا نگهداری پشتیبانهای مناسب کوتاهی میکنند، در معرض خطر تبدیل شدن به تیتر بعدی اخبار هستند. هوشیاری، کنترلهای امنیتی لایهای و نیروی کار آموزشدیده همچنان بهترین دفاع در برابر تهدیدات سایبری در حال تحول هستند.
پیام ها
پیام های زیر مرتبط با باجافزار SamSam یافت شد:
|
What happened to your files? All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption” How to recover files? RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key. How to get private key? You can get your private key in 3 easy steps: 1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs. 2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment 3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered With buying the first key you will find that we are honest |
