Oferta rabatowa na wiele licencji
Baza danych zagrożeń Oprogramowanie wymuszające okup SamSam Ransomware

SamSam Ransomware

Do Mezo w Oprogramowanie wymuszające okup
Przetłumacz na:

Złośliwe oprogramowanie pozostaje jednym z najpoważniejszych zagrożeń zarówno dla osób prywatnych, jak i organizacji. Cyberprzestępcy nieustannie wprowadzają innowacje, opracowując nowe strategie ataków, mające na celu wykorzystanie luk w zabezpieczeniach i uzyskanie nielegalnego dostępu do poufnych danych. Spośród tych zagrożeń, ransomware SamSam wyróżnia się jako szczególnie niebezpieczny szczep, głównie dlatego, że różni się od typowych metod infekcji opartych na phishingu. Zrozumienie jego działania i wdrożenie solidnych środków bezpieczeństwa jest kluczowe dla bezpieczeństwa systemów.

Czym jest SamSam Ransomware?

Wykryty po raz pierwszy między końcem 2015 a początkiem 2016 roku, ransomware SamSam, znany również jako Samas lub SamsamCrypt, szybko zyskał rozgłos dzięki ukierunkowanym atakom na sektory krytyczne, takie jak opieka zdrowotna, transport, edukacja i samorządy lokalne. W przeciwieństwie do typowych kampanii ransomware, które opierają się na taktykach socjotechnicznych, SamSam wykorzystuje bezpośrednią eksploatację sieci.

Chociaż początkowo sądzono, że złośliwe oprogramowanie pochodzi z Europy Wschodniej, późniejsze śledztwa powiązały je z irańskimi cyberprzestępcami, a w 2018 roku oskarżono dwie osoby. Jego wpływ miał charakter globalny, a udokumentowano ataki w Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Portugalii, Australii, Kanadzie i na Bliskim Wschodzie.

Znane kampanie ataków

Departament Transportu Kolorado
W lutym 2018 roku Departament Transportu Kolorado stanął w obliczu poważnych zakłóceń, gdy SamSam zaszyfrował swoje systemy i zażądał płatności w Bitcoinach. Odmawiając wykonania tego polecenia, CDOT wydał około 1,7 miliona dolarów na działania naprawcze.

Samorząd lokalny Atlanty
W marcu 2018 roku Atlanta została sparaliżowana atakiem SamSam przeprowadzonym metodą brute force na protokole pulpitu zdalnego (RDP). Zagrożone zostały usługi, od mediów po system sądowniczy. Atakujący zażądali 51 000 dolarów w Bitcoinach, ale miasto odmówiło i ostatecznie wydało 2,7 miliona dolarów na naprawę szkód.

Uderzenia w sektor opieki zdrowotnej
SamSam szczególnie dotknął branżę opieki zdrowotnej, a wśród jego najbardziej znanych ofiar znalazły się firmy Allied Physicians of Michiana, Hancock Health i Allscripts. Tylko w 2018 roku sektor opieki zdrowotnej odpowiadał za jedną czwartą wszystkich znanych ataków SamSam.

Jak działa ransomware SamSam?

W przeciwieństwie do ransomware rozprzestrzenianego za pośrednictwem wiadomości phishingowych lub złośliwych załączników, SamSam wykorzystuje podatne systemy i skradzione dane uwierzytelniające. Według Agencji ds. Cyberbezpieczeństwa i Infrastruktury (CISA), atakujący wykorzystują luki w zabezpieczeniach serwerów Windows i uzyskują zdalny dostęp poprzez:

  • Odsłonięte lub niezałatane połączenia RDP
  • Kupione lub wymuszone dane logowania
  • Narzędzia do eksploatacji, takie jak JexBoss, dla aplikacji JBoss

    • Po wniknięciu do systemu atakujący zwiększają uprawnienia, ręcznie wdrażają złośliwe oprogramowanie i szyfrują krytyczne pliki. To praktyczne podejście pozwala na precyzyjne namierzanie i wyrządzanie rozległych szkód w zainfekowanych sieciach.

    Żądanie okupu i taktyka płatności

    Po zakończeniu szyfrowania, operatorzy SamSam zostawiają list z żądaniem okupu, instruując ofiary, aby skontaktowały się za pośrednictwem portalu opartego na sieci Tor. Płatności żądane są w Bitcoinach, a chociaż niektóre ofiary otrzymały klucze deszyfrujące po dokonaniu płatności, nie ma gwarancji, że atakujący dotrzymają umowy.

    Czy SamSam nadal stanowi zagrożenie?

    Chociaż nagłośnione ataki zmalały po 2018 roku, a kluczowi operatorzy zostali aresztowani, nie ma dowodów na to, że ransomware został wyeliminowany. Nie istnieje oficjalne narzędzie do deszyfrowania, co oznacza, że SamSam nadal należy uznać za aktywne zagrożenie.

    Wzmocnij swoją obronę: najlepsze praktyki bezpieczeństwa

    Zapobieganie infekcji SamSam wymaga proaktywnej strategii bezpieczeństwa skoncentrowanej na eliminowaniu wykorzystywanych przez niego luk. Oto podstawowe kroki, które powinna wdrożyć każda organizacja:

    1. Bezpieczny i audytowany dostęp do RDP
    • Wyłącz RDP, jeśli nie jest potrzebny.
    • W przypadku niezbędnych usług RDP należy wymusić silne uwierzytelnianie i ograniczyć dostęp do zaufanych adresów IP.
    • Niezwłocznie wdrażaj najnowsze poprawki zabezpieczeń, aby wyeliminować podatne na wykorzystanie luki.
    1. Wdrażanie zasady najmniejszych uprawnień
    • Ogranicz uprawnienia użytkownika wyłącznie do niezbędnych funkcji.
    • Użyj kontroli dostępu opartej na rolach, aby zapobiec szkodom wynikającym z włamania na jedno konto.
    1. Wprowadź silne hasła i zasady uwierzytelniania
    • Strategia tworzenia silnych haseł powinna obejmować:
    • Mieszanka wielkich i małych liter, cyfr i znaków specjalnych.
    • Regularne zmiany haseł i zakaz ich ponownego używania.
    • Typowe błędy, których należy unikać:
    • Udostępnianie danych uwierzytelniających innym osobom.
    • Wyłączanie uwierzytelniania wieloskładnikowego (MFA).
    • Przechowywanie haseł w niezabezpieczonych plikach.
    1. Regularnie twórz kopie zapasowe
    • Przechowuj kopie zapasowe w trybie offline lub w sieciach segmentowanych.
    • Okresowo testuj procedury przywracania, aby upewnić się co do ich skuteczności.

    Ostatnie myśli

    Ransomware SamSam stanowi dobitne przypomnienie, że ataki ransomware nie zawsze polegają na oszukiwaniu użytkowników, a często wykorzystują słabości techniczne. Organizacje, które nie zabezpieczą swoich połączeń RDP, nie wdrożą silnych mechanizmów uwierzytelniania ani nie będą odpowiednio tworzyć kopii zapasowych, ryzykują, że staną się kolejnym tematem numerów gazet. Czujność, wielowarstwowe zabezpieczenia i wykwalifikowana kadra pozostają najlepszą obroną przed ewoluującymi cyberzagrożeniami.

    Wiadomości

    Znaleziono następujące komunikaty związane z SamSam Ransomware:

    What happened to your files?

    All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption”

    How to recover files?

    RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.

    How to get private key?

    You can get your private key in 3 easy steps:

    1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs.

    2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment

    3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered

    With buying the first key you will find that we are honest

    Popularne

    Hasło do konta jest stare, e-mail oszustwo

    Phishing, Spam
    Oszuści nadal tworzą oszukańcze kampanie e-mailowe, aby oszukać niczego niepodejrzewających użytkowników i zmusić ich do podania poufnych informacji. Jednym z takich oszustw, które obecnie krążą, jest oszustwo e-mailowe „Pilny alert bezpieczeństwa”, w szczególności pod przykrywką wiadomości zatytułowanej „Hasło do konta jest stare”. Pomimo że na pierwszy rzut oka wydają się legalne, te e-maile...

    Najczęściej oglądane

    Ładowanie...