SamSam Ransomware

Malware នៅតែជាការគំរាមកំហែងខ្លាំងបំផុតមួយចំពោះបុគ្គល និងស្ថាប័នដូចគ្នា។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តច្នៃប្រឌិត បង្កើតយុទ្ធសាស្រ្តវាយប្រហារថ្មីដែលត្រូវបានរចនាឡើងដើម្បីទាញយកភាពងាយរងគ្រោះ និងទទួលបានសិទ្ធិចូលប្រើប្រាស់ដោយខុសច្បាប់ចំពោះទិន្នន័យរសើប។ ក្នុងចំណោមការគម្រាមកំហែងទាំងនេះ SamSam Ransomware លេចធ្លោជាប្រភេទគ្រោះថ្នាក់ ជាពិសេសព្រោះវាខុសពីវិធីសាស្ត្រឆ្លងមេរោគដែលមានមូលដ្ឋានលើការបន្លំធម្មតា។ ការយល់ដឹងពីរបៀបដែលវាដំណើរការ និងការអនុវត្តវិធានការសុវត្ថិភាពដ៏រឹងមាំ គឺចាំបាច់ណាស់ក្នុងការរក្សាប្រព័ន្ធរបស់អ្នកឱ្យមានសុវត្ថិភាព។

តើ SamSam Ransomware ជាអ្វី?

បានរកឃើញជាលើកដំបូងនៅចន្លោះចុងឆ្នាំ 2015 និងដើមឆ្នាំ 2016 SamSam Ransomware ដែលត្រូវបានគេស្គាល់ថា Samas ឬ SamsamCrypt ទទួលបានភាពល្បីល្បាញយ៉ាងឆាប់រហ័សសម្រាប់ការវាយប្រហារគោលដៅរបស់ខ្លួនលើវិស័យសំខាន់ៗ រួមមានការថែទាំសុខភាព ការដឹកជញ្ជូន ការអប់រំ និងរដ្ឋាភិបាលក្នុងតំបន់។ មិនដូចយុទ្ធនាការ ransomware ធម្មតាដែលពឹងផ្អែកលើយុទ្ធសាស្ត្រវិស្វកម្មសង្គម SamSam ប្រើការកេងប្រវ័ញ្ចបណ្តាញដោយផ្ទាល់។

ទោះបីជាដំបូងគេជឿថាមានដើមកំណើតនៅអឺរ៉ុបខាងកើតក៏ដោយ ប៉ុន្តែការស៊ើបអង្កេតក្រោយមកបានភ្ជាប់មេរោគនេះទៅនឹងឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់ ដោយបុគ្គលពីរនាក់ត្រូវបានចោទប្រកាន់ក្នុងឆ្នាំ 2018 ។ ឥទ្ធិពលរបស់វាបានកើតឡើងជាសកល ជាមួយនឹងការវាយប្រហារដែលបានចងក្រងជាឯកសារនៅក្នុងសហរដ្ឋអាមេរិក ចក្រភពអង់គ្លេស បារាំង ព័រទុយហ្គាល់ អូស្ត្រាលី កាណាដា និងមជ្ឈិមបូព៌ា។

យុទ្ធនាការវាយប្រហារដ៏ល្បី

នាយកដ្ឋានដឹកជញ្ជូនរដ្ឋ Colorado
នៅក្នុងខែកុម្ភៈ ឆ្នាំ 2018 នាយកដ្ឋានដឹកជញ្ជូនរដ្ឋ Colorado បានប្រឈមមុខនឹងការរំខានដ៏ធំមួយនៅពេលដែល SamSam បានអ៊ិនគ្រីបប្រព័ន្ធរបស់ខ្លួន និងទាមទារការទូទាត់ជា Bitcoin ។ ដោយបដិសេធមិនអនុវត្តតាម CDOT បានចំណាយប្រាក់ប៉ាន់ស្មានចំនួន 1.7 លានដុល្លារលើកិច្ចខិតខំប្រឹងប្រែងស្តារឡើងវិញ។

រដ្ឋាភិបាលក្នុងតំបន់អាត្លង់តា
ខែមីនា ឆ្នាំ 2018 បានឃើញទីក្រុងអាត្លង់តាពិការដោយការវាយប្រហារ SamSam ដែលត្រូវបានបញ្ជូនតាមរយៈការចូលដោយបង្ខំនៅលើពិធីការផ្ទៃតុពីចម្ងាយ (RDP) របស់ខ្លួន។ សេវាកម្មរាប់ចាប់ពីឧបករណ៍ប្រើប្រាស់រហូតដល់ប្រព័ន្ធតុលាការត្រូវបានប៉ះពាល់។ អ្នកវាយប្រហារទាមទារ $51,000 ជា Bitcoin ប៉ុន្តែទីក្រុងបានបដិសេធ ហើយទីបំផុតបានចំណាយ $2.7 លានដុល្លារលើការដោះស្រាយ។

វិស័យថែទាំសុខភាព Hits
SamSam ជាពិសេសបានញាំញីឧស្សាហកម្មថែទាំសុខភាព ដោយមានជនរងគ្រោះគួរឱ្យកត់សម្គាល់រួមមាន គ្រូពេទ្យសម្ព័ន្ធមិត្តនៃ Michiana, Hancock Health និង Allscripts។ ក្នុងឆ្នាំ 2018 តែមួយ ការថែទាំសុខភាពមានចំនួនមួយភាគបួននៃការវាយប្រហារ SamSam ដែលគេស្គាល់ទាំងអស់។

តើ SamSam Ransomware ដំណើរការយ៉ាងដូចម្តេច?

មិនដូច ransomware ដែលរីករាលដាលតាមរយៈអ៊ីមែលបន្លំ ឬឯកសារភ្ជាប់ដែលមានគំនិតអាក្រក់ SamSam ប្រើប្រាស់ប្រព័ន្ធដែលងាយរងគ្រោះ និងព័ត៌មានសម្ងាត់ដែលត្រូវបានលួច។ យោងតាមទីភ្នាក់ងារសន្តិសុខ Cybersecurity & Infrastructure (CISA) អ្នកវាយប្រហារទាញយកភាពទន់ខ្សោយនៅក្នុង Windows servers និងទទួលបានពីចម្ងាយតាមរយៈ៖

• ការភ្ជាប់ RDP ដែលលាតត្រដាង ឬមិនបានបិទភ្ជាប់
• ការទិញ ឬ​ការ​ចូល​ដោយ​បង្ខំ​ដោយ​បង្ខំ

នៅពេលដែលនៅខាងក្នុង អ្នកវាយប្រហារបង្កើនសិទ្ធិ ពង្រាយមេរោគដោយដៃ និងអ៊ិនគ្រីបឯកសារសំខាន់ៗ។ វិធីសាស្រ្តដោយដៃនេះអនុញ្ញាតឱ្យកំណត់គោលដៅច្បាស់លាស់ និងការខូចខាតរីករាលដាលនៅក្នុងបណ្តាញសម្របសម្រួល។

កំណត់ចំណាំតម្លៃលោះ និងវិធីសាស្ត្រទូទាត់

បន្ទាប់ពីបញ្ចប់ការអ៊ិនគ្រីប ប្រតិបត្តិករ SamSam ទុកកំណត់ត្រាតម្លៃលោះដែលណែនាំជនរងគ្រោះឱ្យទំនាក់ទំនងតាមរយៈវិបផតថលដែលមានមូលដ្ឋានលើ Tor ។ ការបង់ប្រាក់ត្រូវបានទាមទារនៅក្នុង Bitcoin ហើយខណៈពេលដែលជនរងគ្រោះមួយចំនួនបានទទួលសោរឌិគ្រីបក្រោយការទូទាត់ នោះមិនមានការធានាថាអ្នកវាយប្រហារនឹងគោរពកិច្ចព្រមព្រៀងនោះទេ។

តើលោក សម សែម នៅតែគំរាមកំហែងដែរឬទេ?

ខណៈពេលដែលការវាយប្រហារដែលត្រូវបានផ្សព្វផ្សាយជាសាធារណៈបានថយចុះបន្ទាប់ពីឆ្នាំ 2018 ហើយប្រតិបត្តិករសំខាន់ៗត្រូវបានចាប់ខ្លួន វាមិនមានភស្តុតាងណាមួយដែលថា ransomware ត្រូវបានលុបបំបាត់នោះទេ។ មិនមានឧបករណ៍ឌិគ្រីបផ្លូវការទេ មានន័យថា SamSam នៅតែត្រូវបានចាត់ទុកថាជាហានិភ័យសកម្ម។

ពង្រឹងការការពាររបស់អ្នក៖ ការអនុវត្តសុវត្ថិភាពល្អបំផុត

ការទប់ស្កាត់ការឆ្លងមេរោគ SamSam តម្រូវឱ្យមានយុទ្ធសាស្រ្តសន្តិសុខសកម្មដែលផ្តោតលើការបិទភាពងាយរងគ្រោះដែលវាកេងប្រវ័ញ្ច។ នេះជាជំហានសំខាន់ៗដែលគ្រប់ស្ថាប័នគួរអនុវត្ត៖

1. សុវត្ថិភាព និងសវនកម្មការចូលប្រើ RDP

• បិទ RDP ប្រសិនបើមិនចាំបាច់។
• សម្រាប់សេវា RDP ចាំបាច់ អនុវត្តការផ្ទៀងផ្ទាត់ដ៏រឹងមាំ និងរឹតបន្តឹងការចូលប្រើអាសយដ្ឋាន IP ដែលគួរឱ្យទុកចិត្ត។
• អនុវត្តបំណះសុវត្ថិភាពចុងក្រោយបំផុតភ្លាមៗ ដើម្បីលុបបំបាត់កំហុសដែលអាចកេងប្រវ័ញ្ចបាន។

2. អនុវត្តគោលការណ៍នៃសិទ្ធិតិចតួចបំផុត។

• កំណត់ការអនុញ្ញាតរបស់អ្នកប្រើចំពោះមុខងារសំខាន់ៗតែប៉ុណ្ណោះ។
• ប្រើការគ្រប់គ្រងការចូលប្រើដោយផ្អែកលើតួនាទី ដើម្បីការពារការខូចខាតយ៉ាងទូលំទូលាយពីគណនីដែលត្រូវបានសម្របសម្រួលតែមួយ។

3. ប្រកាន់ខ្ជាប់នូវពាក្យសម្ងាត់ខ្លាំង និងគោលការណ៍ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ

• យុទ្ធសាស្ត្រពាក្យសម្ងាត់ខ្លាំងគួររួមបញ្ចូល៖
• ការលាយបញ្ចូលគ្នានៃអក្សរធំ និងអក្សរតូច លេខ និងតួអក្សរពិសេស។
• ការផ្លាស់ប្តូរពាក្យសម្ងាត់ជាទៀងទាត់ និងការហាមឃាត់ការប្រើប្រាស់ឡើងវិញ។
• កំហុសទូទៅដែលត្រូវជៀសវាង៖
• ចែករំលែកព័ត៌មានសម្ងាត់ជាមួយអ្នកដទៃ។
• ការបិទដំណើរការការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA)។
• ការរក្សាទុកពាក្យសម្ងាត់នៅក្នុងឯកសារដែលមិនមានសុវត្ថិភាព។

4. រក្សាការបម្រុងទុកជាប្រចាំ

• រក្សាការបម្រុងទុកដោយគ្មានអ៊ីនធឺណិត ឬនៅលើបណ្តាញដែលបានបែងចែក។
• សាកល្បងនីតិវិធីស្តារឡើងវិញជាទៀងទាត់ ដើម្បីធានាបាននូវប្រសិទ្ធភាព។

គំនិតចុងក្រោយ

SamSam ransomware បម្រើជាការរំលឹកយ៉ាងច្បាស់ថា ការវាយប្រហារ ransomware មិនតែងតែពឹងផ្អែកលើអ្នកប្រើប្រាស់បោកបញ្ឆោតនោះទេ ពួកគេតែងតែទាញយកប្រយោជន៍ពីភាពទន់ខ្សោយផ្នែកបច្ចេកទេស។ អង្គការដែលបរាជ័យក្នុងការធានាការតភ្ជាប់ RDP របស់ពួកគេ អនុវត្តវិធានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ឬរក្សាការបម្រុងទុកត្រឹមត្រូវ ហានិភ័យនឹងក្លាយជាចំណងជើងបន្ទាប់។ ការប្រុងប្រយ័ត្ន ការគ្រប់គ្រងសុវត្ថិភាពជាស្រទាប់ និងកម្លាំងការងារដែលមានការអប់រំនៅតែជាការការពារដ៏ល្អបំផុតប្រឆាំងនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិត។