SamSam-kiristysohjelma

Haittaohjelmat ovat edelleen yksi vakavimmista uhkista sekä yksilöille että organisaatioille. Kyberrikolliset innovoivat jatkuvasti ja kehittävät uusia hyökkäysstrategioita, joiden tarkoituksena on hyödyntää haavoittuvuuksia ja saada laiton pääsy arkaluonteisiin tietoihin. Näistä uhkista SamSam-kiristysohjelma erottuu erityisen vaarallisena tyyppinä, pääasiassa siksi, että se poikkeaa tavanomaisista tietojenkalastelupohjaisista tartuntamenetelmistä. Sen toiminnan ymmärtäminen ja vankkojen turvatoimenpiteiden toteuttaminen on välttämätöntä järjestelmien turvallisuuden varmistamiseksi.

Mikä on SamSam-kiristyshaittaohjelma?

SamSam-kiristysohjelma, joka tunnetaan myös nimillä Samas tai SamsamCrypt, havaittiin ensimmäisen kerran vuoden 2015 lopun ja 2016 alun välisenä aikana. Se sai nopeasti mainetta kohdennetuista hyökkäyksistään kriittisiin sektoreihin, kuten terveydenhuoltoon, liikenteeseen, koulutukseen ja paikallishallintoon. Toisin kuin tyypilliset kiristysohjelmakampanjat, jotka perustuvat sosiaalisen manipuloinnin taktiikoihin, SamSam hyödyntää suoraan verkkoa.

Vaikka alun perin uskottiin haittaohjelman olevan peräisin Itä-Euroopasta, tutkimukset yhdistivät sen myöhemmin iranilaisiin kyberrikollisiin, ja kaksi henkilöä syytettiin vuonna 2018. Sen vaikutukset ovat olleet maailmanlaajuisia, ja hyökkäyksiä on dokumentoitu Yhdysvalloissa, Isossa-Britanniassa, Ranskassa, Portugalissa, Australiassa, Kanadassa ja Lähi-idässä.

Tunnetut hyökkäyskampanjat

Coloradon liikenneministeriö
Helmikuussa 2018 Coloradon liikenneministeriö kohtasi merkittävän häiriön, kun SamSam salasi sen järjestelmät ja vaati maksuja Bitcoinissa. Kieltäytyessään noudattamasta vaatimusta CDOT käytti arviolta 1,7 miljoonaa dollaria palautustoimiin.

Atlantan paikallishallinto
Maaliskuussa 2018 Atlantan kaupunki lamautui SamSam-hyökkäyksen seurauksena, joka tehtiin raa'alla voimalla etätyöpöytäprotokollaan (RDP) tehdyn tunkeutumisen kautta. Hyökkäys vaikutti palveluihin aina yleishyödyllisistä laitoksista oikeusjärjestelmään. Hyökkääjät vaativat 51 000 dollaria bitcoineja, mutta kaupunki kieltäytyi ja käytti lopulta 2,7 miljoonaa dollaria korjaustoimenpiteisiin.

Terveydenhuoltoalan hitit
SamSam-hyökkäys vaivasi erityisesti terveydenhuoltoalaa, ja sen merkittäviin uhreihin kuuluivat muun muassa Allied Physicians of Michiana, Hancock Health ja Allscripts. Pelkästään vuonna 2018 terveydenhuoltoala vastasi neljänneksestä kaikista tunnetuista SamSam-hyökkäyksistä.

Miten SamSam-kiristysohjelma toimii?

Toisin kuin tietojenkalasteluviestien tai haitallisten liitteiden kautta leviävät kiristysohjelmat, SamSam hyödyntää haavoittuvia järjestelmiä ja varastettuja tunnistetietoja. Kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) mukaan hyökkääjät hyödyntävät Windows-palvelimien heikkouksia ja saavat etäkäytön seuraavien kautta:

• Paljastuneita tai korjaamattomia RDP-yhteyksiä
• Ostetut tai raa'alla tavalla pakotetut kirjautumistunnukset

• Hyökkäystyökalut, kuten JexBoss JBoss-sovelluksille

Sisään päästyään hyökkääjät eskaloivat käyttöoikeuksia, levittävät haittaohjelman manuaalisesti ja salaavat tärkeät tiedostot. Tämä käytännönläheinen lähestymistapa mahdollistaa tarkan kohdistamisen ja laajamittaisen vahingon vaarantuneissa verkoissa.

Lunnasvaatimus ja maksutaktiikat

Salauksen valmistuttua SamSam-operaattorit jättävät uhreille lunnasvaatimuksen, jossa he kehottavat heitä kommunikoimaan Tor-pohjaisen portaalin kautta. Maksut vaaditaan Bitcoineina, ja vaikka jotkut uhrit ovat saaneet salausavaimet maksun jälkeen, ei ole takeita siitä, että hyökkääjät noudattavat sopimusta.

Onko SamSam edelleen uhka?

Vaikka julkisuuden saaneet hyökkäykset vähenivät vuoden 2018 jälkeen ja avainkäyttäjät pidätettiin, ei ole näyttöä siitä, että kiristysohjelma olisi kitketty pois. Virallista salauksen purkutyökalua ei ole olemassa, joten SamSamia tulisi edelleen pitää aktiivisena riskinä.

Vahvista puolustustasi: Parhaat turvallisuuskäytännöt

SamSam-tartunnan estäminen vaatii ennakoivan tietoturvastrategian, joka keskittyy sen hyödyntämien haavoittuvuuksien sulkemiseen. Tässä on tärkeitä vaiheita, jotka jokaisen organisaation tulisi toteuttaa:

1. Suojaa ja auditoi RDP-käyttöoikeus

• Poista RDP käytöstä, jos sitä ei tarvita.
• Tarvittavien RDP-palveluiden osalta vaadi vahvaa todennusta ja rajoita pääsyä luotettaviin IP-osoitteisiin.
• Asenna uusimmat tietoturvakorjaukset viipymättä hyödynnettävien haavoittuvuuksien poistamiseksi.

2. Noudata pienimmän etuoikeuden periaatetta

• Rajoita käyttäjien oikeudet vain välttämättömiin toimintoihin.
• Käytä roolipohjaista käyttöoikeuksien hallintaa estääksesi yhden vaarantuneen tilin aiheuttamat laajat vahingot.

3. Ota käyttöön vahvat salasana- ja todennuskäytännöt

• Vahvan salasanastrategian tulisi sisältää:
• Sekoitus isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.
• Säännölliset salasanan vaihdot ja uudelleenkäytön kielto.
• Yleisiä virheitä, joita kannattaa välttää:
• Tunnistetietojen jakaminen muiden kanssa.
• Monivaiheisen todennuksen (MFA) poistaminen käytöstä.
• Salasanojen tallentaminen suojaamattomiin tiedostoihin.

4. Pidä säännöllisiä varmuuskopioita

• Pidä varmuuskopiot offline-tilassa tai segmentoiduissa verkoissa.
• Testaa kunnostusmenetelmiä säännöllisesti tehokkuuden varmistamiseksi.

Loppuajatukset

SamSam-kiristysohjelma muistuttaa karusti siitä, että kiristysohjelmahyökkäykset eivät aina perustu käyttäjien huijaamiseen, vaan ne usein hyödyntävät teknisiä heikkouksia. Organisaatiot, jotka eivät suojaa RDP-yhteyksiään, käytä vahvoja todennusmenetelmiä tai ylläpidä asianmukaisia varmuuskopioita, ovat vaarassa joutua seuraaviksi otsikoiksi. Valppaus, kerrokselliset turvatoimet ja koulutettu työvoima ovat edelleen parhaita puolustuskeinoja kehittyviä kyberuhkia vastaan.