SamSam Ransomware

Perisian hasad kekal sebagai salah satu ancaman paling mendesak kepada individu dan organisasi. Penjenayah siber terus berinovasi, membangunkan strategi serangan baharu yang direka untuk mengeksploitasi kelemahan dan mendapatkan akses yang menyalahi undang-undang kepada data sensitif. Di antara ancaman ini, SamSam Ransomware menonjol sebagai ketegangan yang sangat berbahaya, terutamanya kerana ia menyimpang daripada kaedah jangkitan berasaskan pancingan data biasa. Memahami cara ia berfungsi dan melaksanakan langkah keselamatan yang teguh adalah penting untuk memastikan sistem anda selamat.

Apakah SamSam Ransomware?

Mula-mula dikesan antara lewat 2015 dan awal 2016, SamSam Ransomware, juga dikenali sebagai Samas atau SamsamCrypt, cepat mendapat kemasyhuran kerana serangan sasarannya terhadap sektor kritikal, termasuk penjagaan kesihatan, pengangkutan, pendidikan dan kerajaan tempatan. Tidak seperti kempen ransomware biasa yang bergantung pada taktik kejuruteraan sosial, SamSam menggunakan eksploitasi rangkaian langsung.

Walaupun pada mulanya dipercayai berasal dari Eropah Timur, siasatan kemudian mengaitkan perisian hasad itu dengan penjenayah siber Iran, dengan dua individu didakwa pada 2018. Kesannya adalah global, dengan serangan yang didokumenkan di Amerika Syarikat, United Kingdom, Perancis, Portugal, Australia, Kanada dan Timur Tengah.

Kempen Serangan Terkenal

Jabatan Pengangkutan Colorado
Pada Februari 2018, Jabatan Pengangkutan Colorado menghadapi gangguan besar apabila SamSam menyulitkan sistemnya dan menuntut pembayaran dalam Bitcoin. Enggan mematuhi, CDOT membelanjakan anggaran $1.7 juta untuk usaha pemulihan.

Kerajaan Tempatan Atlanta
Mac 2018 menyaksikan bandar Atlanta lumpuh akibat serangan SamSam yang dihantar melalui entri kekerasan pada Protokol Desktop Jauh (RDP). Perkhidmatan daripada utiliti kepada sistem mahkamah terjejas. Penyerang menuntut $51,000 dalam Bitcoin, tetapi bandar itu menolak dan akhirnya membelanjakan $2.7 juta untuk pemulihan.

Sektor Penjagaan Kesihatan Hits
SamSam terutamanya melanda industri penjagaan kesihatan, dengan mangsa terkenal termasuk Pakar Perubatan Bersekutu Michiana, Kesihatan Hancock dan Allscripts. Pada tahun 2018 sahaja, penjagaan kesihatan menyumbang satu perempat daripada semua serangan SamSam yang diketahui.

Bagaimana SamSam Ransomware Beroperasi?

Tidak seperti perisian tebusan yang disebarkan melalui e-mel pancingan data atau lampiran berniat jahat, SamSam memanfaatkan sistem yang terdedah dan bukti kelayakan yang dicuri. Menurut Agensi Keselamatan Siber & Infrastruktur (CISA), penyerang mengeksploitasi kelemahan dalam pelayan Windows dan mendapatkan akses jauh melalui:

• Sambungan RDP terdedah atau tidak ditambal
• Bukti kelayakan log masuk yang dibeli atau dipaksa secara kasar

Sebaik sahaja di dalam, penyerang meningkatkan keistimewaan, menggunakan perisian hasad secara manual dan menyulitkan fail kritikal. Pendekatan hands-on ini membolehkan penyasaran yang tepat dan kerosakan yang meluas dalam rangkaian yang terjejas.

Nota Tebusan dan Taktik Pembayaran

Selepas melengkapkan penyulitan, pengendali SamSam meninggalkan nota tebusan yang mengarahkan mangsa untuk berkomunikasi melalui portal berasaskan Tor. Pembayaran dituntut dalam Bitcoin, dan sementara sesetengah mangsa telah menerima kunci penyahsulitan selepas pembayaran, tiada jaminan penyerang akan mematuhi perjanjian itu.

Adakah SamSam Masih Ancaman?

Walaupun serangan yang dimaklumkan berkurangan selepas 2018 dan pengendali utama telah ditangkap, tiada bukti perisian tebusan telah dihapuskan. Tiada alat penyahsulitan rasmi wujud, bermakna SamSam masih harus dianggap sebagai risiko aktif.

Kuatkan Pertahanan Anda: Amalan Keselamatan Terbaik

Mencegah jangkitan SamSam memerlukan strategi keselamatan proaktif yang menumpukan pada menutup kelemahan yang dieksploitasi. Berikut adalah langkah penting yang harus dilaksanakan oleh setiap organisasi:

1. Akses RDP Selamat dan Audit

• Lumpuhkan RDP jika tidak diperlukan.
• Untuk perkhidmatan RDP yang diperlukan, kuatkuasakan pengesahan yang kukuh dan hadkan akses kepada alamat IP yang dipercayai.
• Gunakan patch keselamatan terkini dengan segera untuk menghapuskan kelemahan yang boleh dieksploitasi.

2. Menguatkuasakan Prinsip Keistimewaan Paling Rendah

• Hadkan kebenaran pengguna kepada fungsi penting sahaja.
• Gunakan kawalan akses berasaskan peranan untuk mengelakkan kerosakan yang meluas daripada satu akaun yang terjejas.

3. Mengguna pakai Kata Laluan Teguh dan Dasar Pengesahan

• Strategi kata laluan yang kukuh hendaklah termasuk:
• Gabungan huruf besar dan kecil, nombor dan aksara khas.
• Perubahan kata laluan tetap dan larangan penggunaan semula.
• Kesilapan biasa yang perlu dielakkan:
• Berkongsi kelayakan dengan orang lain.
• Melumpuhkan pengesahan berbilang faktor (MFA).
• Menyimpan kata laluan dalam fail tidak selamat.

4. Kekalkan Sandaran Biasa

• Simpan sandaran di luar talian atau pada rangkaian tersegmen.
• Uji prosedur pemulihan secara berkala untuk memastikan keberkesanan.

Fikiran Akhir

Perisian tebusan SamSam berfungsi sebagai peringatan yang jelas bahawa serangan perisian tebusan tidak selalu bergantung pada pengguna menipu, ia sering mengeksploitasi kelemahan teknikal. Organisasi yang gagal memastikan sambungan RDP mereka, menguatkuasakan langkah pengesahan yang kukuh atau mengekalkan sandaran yang betul berisiko menjadi tajuk utama seterusnya. Kewaspadaan, kawalan keselamatan berlapis-lapis dan tenaga kerja yang berpendidikan kekal sebagai pertahanan terbaik terhadap ancaman siber yang semakin berkembang.