SamSam Ransomware

Вредоносное ПО остаётся одной из самых серьёзных угроз как для отдельных лиц, так и для организаций. Киберпреступники постоянно внедряют инновации, разрабатывая новые стратегии атак, предназначенные для использования уязвимостей и получения незаконного доступа к конфиденциальным данным. Среди этих угроз вирус-вымогатель SamSam выделяется как особенно опасный вид, прежде всего потому, что он отличается от обычных методов заражения, основанных на фишинге. Понимание принципов его работы и применение надёжных мер безопасности крайне важны для обеспечения безопасности ваших систем.

Что такое вирус-вымогатель SamSam?

Программа-вымогатель SamSam, также известная как Samas или SamsamCrypt, впервые была обнаружена в конце 2015 — начале 2016 года. Она быстро приобрела известность благодаря своим целевым атакам на критически важные секторы, включая здравоохранение, транспорт, образование и органы местного самоуправления. В отличие от типичных кампаний с использованием программ-вымогателей, использующих тактику социальной инженерии, SamSam использует прямую эксплуатацию сети.

Первоначально считалось, что вредоносное ПО возникло в Восточной Европе, однако позднее расследования установили связь между ним и иранскими киберпреступниками, в связи с чем в 2018 году двум лицам были предъявлены обвинения. Его влияние имело глобальный характер: были зафиксированы атаки в США, Великобритании, Франции, Португалии, Австралии, Канаде и на Ближнем Востоке.

Печально известные кампании атак

Департамент транспорта Колорадо
В феврале 2018 года Департамент транспорта штата Колорадо столкнулся с серьёзным сбоем, когда SamSam зашифровал его системы и потребовал оплату в биткоинах. Отказавшись подчиниться, CDOT потратил около 1,7 миллиона долларов на восстановление.

Местное самоуправление Атланты
В марте 2018 года город Атланта был парализован атакой SamSam, осуществленной методом подбора пароля к протоколу удаленного рабочего стола (RDP). Пострадали различные службы, от коммунальных услуг до судебной системы. Злоумышленники потребовали 51 000 долларов в биткоинах, но город отказался и в итоге потратил 2,7 миллиона долларов на устранение последствий.

Хиты сектора здравоохранения
SamSam особенно навредил сфере здравоохранения, среди известных жертв были Allied Physicians of Michiana, Hancock Health и Allscripts. Только в 2018 году на сферу здравоохранения пришлась четверть всех известных атак SamSam.

Как работает вирус-вымогатель SamSam?

В отличие от программ-вымогателей, распространяемых через фишинговые письма или вредоносные вложения, SamSam использует уязвимости систем и украденные учётные данные. По данным Агентства по кибербезопасности и безопасности инфраструктуры (CISA), злоумышленники используют уязвимости серверов Windows и получают удалённый доступ через:

• Открытые или неисправленные соединения RDP
• Купленные или подобранные методом подбора учетные данные для входа

Оказавшись внутри сети, злоумышленники повышают свои привилегии, вручную внедряют вредоносное ПО и шифруют критически важные файлы. Такой практический подход позволяет точно нацеливаться и наносить масштабный ущерб в скомпрометированных сетях.

Записка о выкупе и тактика оплаты

После завершения шифрования операторы SamSam оставляют записку с требованием выкупа, в которой им предлагается связаться с жертвами через портал на базе Tor. Оплата производится в биткоинах, и, хотя некоторые жертвы получили ключи дешифрования после оплаты, нет никаких гарантий, что злоумышленники выполнят соглашение.

SamSam все еще представляет угрозу?

Несмотря на то, что после 2018 года количество известных атак сократилось, а ключевые операторы были арестованы, нет никаких доказательств того, что программа-вымогатель полностью уничтожена. Официального инструмента для дешифрования не существует, поэтому SamSam по-прежнему следует считать активным риском.

Укрепите свою защиту: лучшие методы обеспечения безопасности

Для предотвращения заражения SamSam требуется проактивная стратегия безопасности, направленная на устранение уязвимостей, которые он использует. Вот основные шаги, которые должна предпринять каждая организация:

1. Безопасный и контролируемый RDP-доступ

• Отключите RDP, если не нужно.
• Для необходимых служб RDP используйте строгую аутентификацию и ограничьте доступ доверенными IP-адресами.
• Своевременно устанавливайте последние исправления безопасности, чтобы устранить уязвимости, которые можно эксплуатировать.

2. Обеспечить соблюдение принципа наименьших привилегий

• Ограничьте полномочия пользователя только необходимыми функциями.
• Используйте управление доступом на основе ролей, чтобы предотвратить масштабный ущерб от одной скомпрометированной учетной записи.

3. Используйте надежные политики паролей и аутентификации

• Надежная стратегия создания пароля должна включать:
• Сочетание заглавных и строчных букв, цифр и специальных символов.
• Регулярная смена паролей и запрет на повторное использование.
• Распространенные ошибки, которых следует избегать:
• Передача учетных данных другим лицам.
• Отключение многофакторной аутентификации (MFA).
• Хранение паролей в незащищенных файлах.

4. Регулярно создавайте резервные копии

• Храните резервные копии в автономном режиме или в сегментированных сетях.
• Периодически проверяйте процедуры восстановления, чтобы гарантировать их эффективность.

Заключительные мысли

Программа-вымогатель SamSam служит суровым напоминанием о том, что атаки программ-вымогателей не всегда основаны на обмане пользователей, а часто используют технические уязвимости. Организации, которые не обеспечивают безопасность своих RDP-подключений, не применяют строгие меры аутентификации и не поддерживают надлежащее резервное копирование, рискуют стать следующими героем новостей. Бдительность, многоуровневые средства безопасности и квалифицированные сотрудники остаются лучшей защитой от развивающихся киберугроз.