Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Ransomware SamSam zsarolóvírus

SamSam zsarolóvírus

Mezo -ra Ransomware-ben
Fordítás ide:

A rosszindulatú programok továbbra is az egyik legsürgetőbb fenyegetés az egyének és a szervezetek számára egyaránt. A kiberbűnözők folyamatosan újítanak, új támadási stratégiákat fejlesztenek ki, amelyek célja a sebezhetőségek kihasználása és az érzékeny adatokhoz való jogellenes hozzáférés megszerzése. Ezen fenyegetések közül a SamSam zsarolóvírus különösen veszélyes törzsként emelkedik ki, elsősorban azért, mert eltér a szokásos adathalászaton alapuló fertőzési módszerektől. A működésének megértése és a robusztus biztonsági intézkedések bevezetése elengedhetetlen a rendszerek biztonságának megőrzéséhez.

Mi az a SamSam zsarolóvírus?

A 2015 vége és 2016 eleje között észlelt SamSam zsarolóvírus, más néven Samas vagy SamsamCrypt, gyorsan hírhedtté vált a kritikus ágazatok, köztük az egészségügy, a közlekedés, az oktatás és a helyi önkormányzatok elleni célzott támadásai miatt. A tipikus, szociális manipulációra épülő zsarolóvírus-kampányokkal ellentétben a SamSam közvetlen hálózati kihasználást alkalmaz.

Bár kezdetben azt hitték, hogy Kelet-Európából származik, a nyomozások később iráni kiberbűnözőkhöz kötötték a rosszindulatú programot, és 2018-ban két személyt vádoltak meg. A program globális hatással bír, a dokumentált támadások az Egyesült Államokban, az Egyesült Királyságban, Franciaországban, Portugáliában, Ausztráliában, Kanadában és a Közel-Keleten történtek.

Hírhedt támadási kampányok

Colorado Közlekedési Minisztériuma
2018 februárjában a Colorado Közlekedési Minisztérium komoly fennakadásokkal nézett szembe, amikor a SamSam titkosította rendszereit, és bitcoinban követelte a fizetést. A CDOT, mivel nem volt hajlandó eleget tenni a kérésnek, becslések szerint 1,7 millió dollárt költött helyreállítási erőfeszítésekre.

Atlantai helyi önkormányzat
2018 márciusában Atlanta városát megbénította egy SamSam támadás, amelyet a Remote Desktop Protocol (RDP) protokollján keresztül hajtottak végre nyers erővel. A közművektől az igazságszolgáltatási rendszerig számos szolgáltatás érintett. A támadók 51 000 dollárt követeltek Bitcoinban, de a város ezt elutasította, és végül 2,7 millió dollárt költött a kármentesítésre.

Az egészségügyi szektor sikerei
A SamSam különösen az egészségügyi ágazatot sújtotta, olyan jelentős áldozatokkal, mint az Allied Physicians of Michiana, a Hancock Health és az Allscripts. Csak 2018-ban az egészségügy az összes ismert SamSam támadás egynegyedét tette ki.

Hogyan működik a SamSam zsarolóvírus?

A zsarolóvírusokkal ellentétben, amelyek adathalász e-maileken vagy rosszindulatú mellékleteken keresztül terjednek, a SamSam sebezhető rendszereket és ellopott hitelesítő adatokat használ ki. A Kiberbiztonsági és Infrastruktúra-Biztonsági Ügynökség (CISA) szerint a támadók a Windows szerverek gyengeségeit használják ki, és távoli hozzáférést szereznek a következőkön keresztül:

  • Nyilvános vagy nem javított RDP-kapcsolatok
  • Vásárolt vagy brute-forced bejelentkezési adatok
  • JBoss alkalmazásokhoz használt JexBosshoz hasonló kihasználási eszközök

Miután bejutottak a hálózatba, a támadók kiterjeszthetik a jogosultságokat, manuálisan telepíthetik a rosszindulatú programot, és titkosíthatják a kritikus fájlokat. Ez a gyakorlatias megközelítés lehetővé teszi a pontos célzást és a széles körű károkozást a feltört hálózatokon belül.

A váltságdíjjegyzet és a fizetési taktikák

A titkosítás befejezése után a SamSam operátorai váltságdíjat követelő üzenetet hagynak, amelyben arra utasítják az áldozatokat, hogy egy Tor-alapú portálon keresztül kommunikáljanak. A fizetéseket Bitcoinban követelik, és bár egyes áldozatok a fizetés után megkapták a visszafejtési kulcsokat, nincs garancia arra, hogy a támadók betartják a megállapodást.

SamSam még mindig fenyegetést jelent?

Bár a nyilvánosságra hozott támadások száma 2018 után csökkent, és a főbb szereplőket letartóztatták, nincs bizonyíték arra, hogy a zsarolóvírust kiirtották volna. Nincs hivatalos visszafejtési eszköz, ami azt jelenti, hogy a SamSam továbbra is aktív kockázatnak tekinthető.

Erősítse meg védelmét: Bevált biztonsági gyakorlatok

A SamSam fertőzés megelőzése proaktív biztonsági stratégiát igényel, amely a kihasznált sebezhetőségek megszüntetésére összpontosít. Íme a legfontosabb lépések, amelyeket minden szervezetnek meg kell valósítania:

  1. RDP-hozzáférés biztosítása és auditálása
  • Ha nincs rá szükség, tiltsd le az RDP-t.
  • A szükséges RDP-szolgáltatások esetében erős hitelesítést kell kikényszeríteni, és a hozzáférést a megbízható IP-címekre kell korlátozni.
  • A legújabb biztonsági javításokat haladéktalanul alkalmazza a kihasználható hibák kiküszöbölése érdekében.
  1. A legkisebb privilégium elvének érvényesítése
  • A felhasználói jogosultságokat csak a legszükségesebb funkciókra korlátozza.
  • Használjon szerepköralapú hozzáférés-vezérlést az egyetlen feltört fiók okozta széles körű károk megelőzésére.
  1. Erős jelszó- és hitelesítési szabályzatok alkalmazása
  • Egy erős jelszóstratégiának a következőket kell tartalmaznia:
  • Nagy- és kisbetűk, számok és speciális karakterek keveréke.
  • Rendszeres jelszóváltoztatás és újrafelhasználás tilalma.
  • Gyakori hibák, amelyeket el kell kerülni:
  • Hitelesítő adatok megosztása másokkal.
  • A többtényezős hitelesítés (MFA) letiltása.
  • Jelszavak tárolása nem biztonságos fájlokban.
  1. Rendszeres biztonsági mentések készítése
  • Tartsa a biztonsági mentéseket offline vagy szegmentált hálózatokon.
  • A helyreállítási eljárásokat rendszeresen tesztelje a hatékonyság biztosítása érdekében.

Záró gondolatok

A SamSam zsarolóvírus komoly emlékeztetőül szolgál arra, hogy a zsarolóvírus-támadások nem mindig a felhasználók becsapásán alapulnak, hanem gyakran technikai gyengeségeket használnak ki. Azok a szervezetek, amelyek nem biztosítják RDP-kapcsolataikat, nem érvényesítik az erős hitelesítési intézkedéseket, vagy nem tartanak fenn megfelelő biztonsági mentéseket, könnyen a címlapokra kerülhetnek. Az éberség, a többrétegű biztonsági ellenőrzések és a képzett munkaerő továbbra is a legjobb védelem a folyamatosan változó kiberfenyegetésekkel szemben.

üzenetek

A következő, SamSam zsarolóvírus-hez kapcsolódó üzenetek találtak:

What happened to your files?

All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption”

How to recover files?

RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.

How to get private key?

You can get your private key in 3 easy steps:

1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs.

2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment

3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered

With buying the first key you will find that we are honest

Felkapott

Fiókjelszó régi e-mail átverés

Adathalászat, Spam
A csalók továbbra is megtévesztő e-mail kampányokat indítanak, hogy gyanútlan felhasználókat ragadjanak ki érzékeny információk megadására. Az egyik ilyen jelenleg terjedő csalás a „Sürgős biztonsági riasztás” nevű e-mailes csalás, amelyet konkrétan a „Fiókjelszó régi” című üzenet álcája mögé rejtenek. Bár első pillantásra legitimnek tűnnek, ezek az e-mailek csalók, és komoly veszélyt...

Legnézettebb

Betöltés...