Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware SamSam izspiedējvīruss

SamSam izspiedējvīruss

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:

Ļaunprogrammatūra joprojām ir viens no aktuālākajiem draudiem gan indivīdiem, gan organizācijām. Kibernoziedznieki nepārtraukti ievieš jauninājumus, izstrādājot jaunas uzbrukumu stratēģijas, kas paredzētas ievainojamību izmantošanai un nelikumīgas piekļuves iegūšanai sensitīviem datiem. Starp šiem draudiem SamSam izspiedējvīruss izceļas kā īpaši bīstama versija, galvenokārt tāpēc, ka tas atšķiras no parastajām pikšķerēšanas inficēšanas metodēm. Izpratne par tā darbību un spēcīgu drošības pasākumu ieviešana ir būtiska, lai jūsu sistēmas būtu drošas.

Kas ir SamSam izspiedējvīruss?

Pirmo reizi atklāta laikā no 2015. gada beigām līdz 2016. gada sākumam, SamSam izspiedējvīruss, kas pazīstams arī kā Samas vai SamsamCrypt, ātri vien ieguva bēdīgu atpazīstamību ar mērķtiecīgiem uzbrukumiem kritiski svarīgām nozarēm, tostarp veselības aprūpei, transportam, izglītībai un vietējām pašvaldībām. Atšķirībā no tipiskām izspiedējvīrusu kampaņām, kas balstās uz sociālās inženierijas taktiku, SamSam izmanto tiešu tīkla izmantošanu.

Lai gan sākotnēji tika uzskatīts, ka ļaunprogrammatūra radusies Austrumeiropā, vēlāk izmeklēšana to saistīja ar Irānas kibernoziedzniekiem, un 2018. gadā tika apsūdzētas divas personas. Tās ietekme ir bijusi globāla, un uzbrukumi ir dokumentēti Amerikas Savienotajās Valstīs, Apvienotajā Karalistē, Francijā, Portugālē, Austrālijā, Kanādā un Tuvajos Austrumos.

Bēdīgi slavenās uzbrukuma kampaņas

Kolorādo Transporta departaments
2018. gada februārī Kolorādo Transporta departaments saskārās ar nopietniem traucējumiem, kad SamSam šifrēja savas sistēmas un pieprasīja maksājumus bitkoinos. Atsakoties pakļauties prasībām, CDOT atgūšanas pasākumiem iztērēja aptuveni 1,7 miljonus ASV dolāru.

Atlantas vietējā valdība
2018. gada martā Atlantas pilsētu paralizēja SamSam uzbrukums, kas tika veikts, izmantojot brutālas piespēles pieeju tās attālās darbvirsmas protokolam (RDP). Tika ietekmēti dažādi pakalpojumi, sākot no komunālajiem pakalpojumiem līdz tiesu sistēmai. Uzbrucēji pieprasīja 51 000 ASV dolāru bitkoinos, taču pilsēta atteicās un galu galā iztērēja 2,7 miljonus ASV dolāru seku likvidēšanai.

Veselības aprūpes nozares hiti
SamSam īpaši smagi skāra veselības aprūpes nozari, un starp ievērojamiem upuriem bija Allied Physicians of Michiana, Hancock Health un Allscripts. Vienīgi 2018. gadā veselības aprūpes nozare veidoja ceturto daļu no visiem zināmajiem SamSam uzbrukumiem.

Kā darbojas SamSam izspiedējvīruss?

Atšķirībā no izspiedējvīrusa, kas izplatās ar pikšķerēšanas e-pastiem vai ļaunprātīgiem pielikumiem, SamSam izmanto ievainojamas sistēmas un nozagtas akreditācijas datus. Saskaņā ar Kiberdrošības un infrastruktūras drošības aģentūras (CISA) datiem, uzbrucēji izmanto Windows serveru ievainojamības un iegūst attālinātu piekļuvi, izmantojot:

  • Atklāti vai neaizlāpoti RDP savienojumi
  • Iegādāti vai piespiedu kārtā iegūti pieteikšanās dati
  • JBoss lietojumprogrammu ekspluatācijas rīki, piemēram, JexBoss

Nonākot iekšā, uzbrucēji palielina privilēģijas, manuāli izvieto ļaunprogrammatūru un šifrē kritiski svarīgus failus. Šī praktiskā pieeja ļauj precīzi mērķēt uz tīklu un nodarīt plašu kaitējumu apdraudētajos tīklos.

Izpirkuma maksa un maksājumu taktika

Pēc šifrēšanas pabeigšanas SamSam operatori atstāj izpirkuma zīmīti, kurā upuriem tiek norādīts sazināties, izmantojot Tor portālu. Maksājumi tiek pieprasīti Bitcoin valūtā, un, lai gan daži upuri pēc maksājuma ir saņēmuši atšifrēšanas atslēgas, nav garantijas, ka uzbrucēji ievēros vienošanos.

Vai SamSam joprojām ir drauds?

Lai gan publiskoto uzbrukumu skaits pēc 2018. gada samazinājās un galvenie operatori tika arestēti, nav pierādījumu, ka izspiedējvīruss būtu izskausts. Nav oficiāla atšifrēšanas rīka, kas nozīmē, ka SamSam joprojām būtu jāuzskata par aktīvu risku.

Stipriniet savu aizsardzību: labākā drošības prakse

Lai novērstu SamSam infekciju, ir nepieciešama proaktīva drošības stratēģija, kas vērsta uz ievainojamību novēršanu, kuras tā izmanto. Šeit ir norādīti svarīgi soļi, kas jāievieš katrai organizācijai:

  1. Droša un auditējama RDP piekļuve
  • Atspējojiet RDP, ja tas nav nepieciešams.
  • Lai nodrošinātu nepieciešamos RDP pakalpojumus, ieviesiet spēcīgu autentifikāciju un ierobežojiet piekļuvi tikai uzticamām IP adresēm.
  • Nekavējoties lietojiet jaunākos drošības ielāpus, lai novērstu izmantojamus trūkumus.
  1. Ievērot mazāko privilēģiju principu
  • Ierobežojiet lietotāju atļaujas tikai ar svarīgākajām funkcijām.
  • Izmantojiet uz lomām balstītu piekļuves kontroli, lai novērstu plašu kaitējumu, ko varētu radīt viens apdraudēts konts.
  1. Ieviesiet spēcīgas paroles un autentifikācijas politikas
  • Spēcīgai paroles stratēģijai jāietver:
  • Lielo un mazo burtu, ciparu un speciālo rakstzīmju sajaukums.
  • Regulāra paroļu maiņa un atkārtotas lietošanas aizliegums.
  • Biežāk pieļautās kļūdas, no kurām jāizvairās:
  • Akreditācijas datu kopīgošana ar citiem.
  • Daudzfaktoru autentifikācijas (MFA) atspējošana.
  • Paroļu glabāšana nedrošos failos.
  1. Regulāri veiciet dublējumus
  • Saglabājiet dublējumkopijas bezsaistē vai segmentētos tīklos.
  • Regulāri pārbaudiet atjaunošanas procedūras, lai nodrošinātu to efektivitāti.

Noslēguma domas

Izspiedējvīruss SamSam kalpo kā skarbs atgādinājums, ka izspiedējvīrusu uzbrukumi ne vienmēr balstās uz lietotāju maldināšanu, bet gan bieži vien izmanto tehniskas nepilnības. Organizācijas, kas nenodrošina savu RDP savienojumu drošību, neievieš spēcīgus autentifikācijas pasākumus vai neuztur atbilstošas dublējumkopijas, riskē kļūt par nākamajiem virsrakstiem. Modrība, slāņveida drošības kontrole un izglītots darbaspēks joprojām ir labākā aizsardzība pret mainīgajiem kiberdraudiem.

Ziņojumi

Tika atrasti šādi ar SamSam izspiedējvīruss saistīti ziņojumi:

What happened to your files?

All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption”

How to recover files?

RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.

How to get private key?

You can get your private key in 3 easy steps:

1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs.

2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment

3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered

With buying the first key you will find that we are honest

Tendences

Konta parole ir veca — e-pasta krāpniecība

Pikšķerēšana, Mēstules
Krāpnieki turpina veidot maldinošas e-pasta kampaņas, lai apmānītu neko nenojaušošus lietotājus, liekot tiem atklāt sensitīvu informāciju. Viena no šādām krāpniecības shēmām, kas pašlaik cirkulē, ir e-pasta krāpniecība “Urgent Security Alert”, kas tiek attēlota ar ziņojumu ar nosaukumu “Konta parole ir novecojusi”. Lai gan no pirmā acu uzmetiena šie e-pasti šķiet likumīgi, tie ir krāpnieciski...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,753
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...