SamSam išpirkos reikalaujanti programa

Kenkėjiška programa išlieka viena iš didžiausių grėsmių tiek asmenims, tiek organizacijoms. Kibernetiniai nusikaltėliai nuolat kuria naujoves, kurdami naujas atakų strategijas, skirtas išnaudoti pažeidžiamumus ir gauti neteisėtą prieigą prie neskelbtinų duomenų. Tarp šių grėsmių „SamSam Ransomware“ išsiskiria kaip ypač pavojinga atmaina, daugiausia dėl to, kad ji skiriasi nuo įprastų sukčiavimo apsimetant virusais pagrįstų užkrėtimo metodų. Norint užtikrinti savo sistemų saugumą, būtina suprasti, kaip ji veikia, ir įdiegti patikimas saugumo priemones.

Kas yra „SamSam“ išpirkos reikalaujanti programa?

Pirmą kartą aptiktas 2015 m. pabaigoje–2016 m. pradžioje, „SamSam Ransomware“, dar žinomas kaip „Samas“ arba „SamsamCrypt“, greitai išgarsėjo dėl tikslinių atakų prieš svarbiausius sektorius, įskaitant sveikatos apsaugą, transportą, švietimą ir vietos valdžią. Skirtingai nuo įprastų išpirkos reikalaujančių programų kampanijų, kurios remiasi socialinės inžinerijos taktika, „SamSam“ naudoja tiesioginį tinklo išnaudojimą.

Nors iš pradžių manyta, kad kenkėjiška programa atsirado Rytų Europoje, vėliau tyrimai susiejo ją su Irano kibernetiniais nusikaltėliais, o 2018 m. apkaltinti du asmenys. Jos poveikis buvo pasaulinis, o išpuolių užfiksuota Jungtinėse Valstijose, Jungtinėje Karalystėje, Prancūzijoje, Portugalijoje, Australijoje, Kanadoje ir Artimuosiuose Rytuose.

Liūdnai pagarsėjusios atakų kampanijos

Kolorado transporto departamentas
2018 m. vasarį Kolorado transporto departamentas susidūrė su dideliais sutrikimais, kai „SamSam“ užšifravo jo sistemas ir pareikalavo mokėti bitkoinais. Atsisakęs paklusti, CDOT išleido apie 1,7 mln. JAV dolerių duomenų atkūrimo pastangoms.

Atlantos vietos valdžia
2018 m. kovo mėn. Atlantos miestą paralyžiavo „SamSam“ ataka, įvykdyta naudojant „brute-force“ tipo įėjimą į miesto nuotolinio darbalaukio protokolą (RDP). Buvo paveiktos įvairios paslaugos – nuo komunalinių paslaugų iki teismų sistemos. Užpuolikai pareikalavo 51 000 JAV dolerių bitkoinų, tačiau miestas atsisakė ir galiausiai išleido 2,7 mln. JAV dolerių žalos atlyginimui.

Sveikatos priežiūros sektoriaus hitai
„SamSam“ ypač paveikė sveikatos priežiūros sektorių, o tarp žinomų aukų yra „Allied Physicians of Michiana“, „Hancock Health“ ir „Allscripts“. Vien 2018 m. sveikatos priežiūros sektorius sudarė ketvirtadalį visų žinomų „SamSam“ atakų.

Kaip veikia „SamSam“ išpirkos reikalaujanti programa?

Kitaip nei išpirkos reikalaujančios programinės įrangos, platinamos per sukčiavimo el. laiškus ar kenkėjiškus priedus, „SamSam“ naudojasi pažeidžiamomis sistemomis ir pavogtais prisijungimo duomenimis. Pasak Kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA), užpuolikai išnaudoja „Windows“ serverių silpnąsias vietas ir gauna nuotolinę prieigą per:

• Atviri arba netaisyti RDP ryšiai
• Įsigyti arba priverstinai gauti prisijungimo duomenys

• Išnaudojimo įrankiai, tokie kaip „JexBoss“, skirti „JBoss“ programoms

Patekę į vidų, užpuolikai suteikia daugiau teisių, rankiniu būdu diegia kenkėjiškas programas ir užšifruoja svarbius failus. Toks praktinis metodas leidžia tiksliai nukreipti duomenis į pažeistus tinklus ir padaryti didelę žalą juose.

Išpirkos raštelis ir mokėjimo taktika

Baigę šifravimą, „SamSam“ operatoriai palieka išpirkos raštelį, kuriame nurodo aukoms bendrauti per „Tor“ pagrindu veikiantį portalą. Mokėjimai reikalaujami bitkoinais, ir nors kai kurios aukos po apmokėjimo gauna iššifravimo raktus, nėra jokios garantijos, kad užpuolikai laikysis susitarimo.

Ar SamSam vis dar kelia grėsmę?

Nors po 2018 m. viešai skelbiamų atakų sumažėjo, o pagrindiniai operatoriai buvo suimti, nėra jokių įrodymų, kad išpirkos reikalaujanti programa buvo išnaikinta. Nėra jokio oficialaus iššifravimo įrankio, todėl „SamSam“ vis dar turėtų būti laikoma aktyvia grėsme.

Sustiprinkite savo gynybą: geriausia saugumo praktika

Norint užkirsti kelią „SamSam“ infekcijai, reikia aktyvios saugumo strategijos, skirtos pašalinti pažeidžiamumus, kuriais ji naudojasi. Štai esminiai žingsniai, kuriuos turėtų įgyvendinti kiekviena organizacija:

1. Saugi ir audituojama RDP prieiga

• Išjunkite RDP, jei nereikia.
• Norint naudoti būtinas RDP paslaugas, užtikrinkite stiprų autentifikavimą ir apribokite prieigą tik patikimiems IP adresams.
• Nedelsdami įdiekite naujausius saugumo pataisymus, kad pašalintumėte galimas spragas.

2. Įgyvendinkite mažiausių privilegijų principą

• Apribokite naudotojų teises tik iki būtiniausių funkcijų.
• Naudokite vaidmenimis pagrįstą prieigos kontrolę, kad išvengtumėte didelės žalos, kurią gali sukelti viena pažeista paskyra.

3. Priimkite tvirtą slaptažodį ir autentifikavimo politiką

• Tvirta slaptažodžių strategija turėtų apimti:
• Didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių mišinys.
• Reguliarus slaptažodžių keitimas ir pakartotinio naudojimo draudimas.
• Dažniausios klaidos, kurių reikėtų vengti:
• Dalijimasis įgaliojimais su kitais.
• Daugiafaktorinio autentifikavimo (MFA) išjungimas.
• Slaptažodžių saugojimas neapsaugotuose failuose.

4. Reguliariai kurkite atsargines kopijas

• Laikykite atsargines kopijas neprisijungę prie interneto arba segmentuotuose tinkluose.
• Reguliariai tikrinkite restauravimo procedūras, kad užtikrintumėte jų efektyvumą.

Baigiamosios mintys

Išpirkos reikalaujanti „SamSam“ programa yra rimtas priminimas, kad išpirkos reikalaujančių programų atakos ne visada remiasi vartotojų apgaule, jos dažnai išnaudoja techninius trūkumus. Organizacijos, kurios neužtikrina savo RDP ryšių apsaugos, netaiko stiprių autentifikavimo priemonių ar nepalaiko tinkamų atsarginių kopijų, rizikuoja tapti antraštėmis. Budrumas, daugiasluoksnė saugumo kontrolė ir išsilavinusi darbo jėga išlieka geriausia apsauga nuo besikeičiančių kibernetinių grėsmių.