SamSam Ransomware

Škodlivý softvér zostáva jednou z najnaliehavejších hrozieb pre jednotlivcov aj organizácie. Kyberzločinci neustále inovujú a vyvíjajú nové útočné stratégie určené na zneužitie zraniteľností a získanie nezákonného prístupu k citlivým údajom. Spomedzi týchto hrozieb vyniká SamSam Ransomware ako obzvlášť nebezpečný kmeň, predovšetkým preto, že sa odchyľuje od bežných metód infikovania založených na phishingu. Pochopenie toho, ako funguje, a implementácia robustných bezpečnostných opatrení je nevyhnutná pre bezpečnosť vašich systémov.

Čo je ransomvér SamSam?

Ransomvér SamSam, známy aj ako Samas alebo SamsamCrypt, bol prvýkrát zistený medzi koncom roka 2015 a začiatkom roka 2016 a rýchlo si získal povesť vďaka cieleným útokom na kritické sektory vrátane zdravotníctva, dopravy, vzdelávania a miestnych samospráv. Na rozdiel od typických ransomvérových kampaní, ktoré sa spoliehajú na taktiky sociálneho inžinierstva, SamSam využíva priame zneužívanie siete.

Hoci sa pôvodne predpokladalo, že malvér pochádza z východnej Európy, vyšetrovania neskôr spojili malvér s iránskymi kyberzločincami, pričom v roku 2018 boli obvinení dvaja jednotlivci. Jeho dopad bol globálny, pričom boli zdokumentované útoky v Spojených štátoch, Spojenom kráľovstve, Francúzsku, Portugalsku, Austrálii, Kanade a na Blízkom východe.

Známe útočné kampane

Ministerstvo dopravy v Colorade
Vo februári 2018 čelilo ministerstvo dopravy v Colorade vážnemu narušeniu, keď spoločnosť SamSam zašifrovala jeho systémy a požadovala platbu v bitcoinoch. Ministerstvo dopravy v Colorade odmietlo vyhovieť požiadavkám a vynaložilo odhadovaných 1,7 milióna dolárov na obnovu dát.

Miestna samospráva v Atlante
V marci 2018 bolo mesto Atlanta paralyzované útokom SamSam, ktorý sa uskutočnil prostredníctvom hrubej sily v protokole vzdialenej pracovnej plochy (RDP). Ovplyvnené boli služby od verejných služieb až po súdny systém. Útočníci požadovali 51 000 dolárov v bitcoinoch, ale mesto to odmietlo a nakoniec vynaložilo 2,7 milióna dolárov na nápravu.

Hity v sektore zdravotníctva
SamSam obzvlášť sužoval odvetvie zdravotníctva, medzi významné obete patria spoločnosti Allied Physicians of Michiana, Hancock Health a Allscripts. Len v roku 2018 sa na zdravotníctvo podieľalo štvrtinou všetkých známych útokov SamSam.

Ako funguje ransomvér SamSam?

Na rozdiel od ransomvéru šíreného prostredníctvom phishingových e-mailov alebo škodlivých príloh, SamSam využíva zraniteľné systémy a ukradnuté prihlasovacie údaje. Podľa Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) útočníci zneužívajú slabé miesta v serveroch Windows a získavajú vzdialený prístup prostredníctvom:

• Odkryté alebo neopravené RDP pripojenia
• Zakúpené alebo vynútené prihlasovacie údaje

Po vstupe do siete útočníci zvyšujú privilégiá, manuálne nasadzujú malvér a šifrujú kritické súbory. Tento praktický prístup umožňuje presné zacielenie a rozsiahle škody v rámci napadnutých sietí.

Výkupné a platobné taktiky

Po dokončení šifrovania operátori SamSamu zanechajú obetiam výkupné s pokynmi, aby komunikovali prostredníctvom portálu založeného na platforme Tor. Platby sa požadujú v bitcoinoch a hoci niektoré obete po zaplatení dostali dešifrovacie kľúče, neexistuje žiadna záruka, že útočníci dohodu dodržia.

Je SamSam stále hrozbou?

Hoci medializované útoky po roku 2018 upadli a kľúčoví operátori boli zatknutí, neexistujú žiadne dôkazy o tom, že by bol ransomvér odstránený. Neexistuje žiadny oficiálny dešifrovací nástroj, čo znamená, že SamSam by sa mal stále považovať za aktívne riziko.

Posilnite si obranu: Najlepšie bezpečnostné postupy

Prevencia infekcie SamSam si vyžaduje proaktívnu bezpečnostnú stratégiu zameranú na odstránenie zraniteľností, ktoré zneužíva. Tu sú základné kroky, ktoré by mala každá organizácia implementovať:

1. Zabezpečený a auditovaný prístup RDP

• Ak nie je potrebný, vypnite RDP.
• Pre potrebné služby RDP vynucujte silné overovanie a obmedzte prístup na dôveryhodné IP adresy.
• Okamžite nainštalujte najnovšie bezpečnostné záplaty, aby ste odstránili zneužiteľné chyby.

2. Presadzovať princíp najmenších privilégií

• Obmedzte používateľské oprávnenia iba na základné funkcie.
• Používajte riadenie prístupu na základe rolí, aby ste predišli rozsiahlemu poškodeniu z jediného napadnutého účtu.

3. Prijať silné pravidlá pre heslá a overovanie

• Stratégia silného hesla by mala zahŕňať:
• Kombinácia veľkých a malých písmen, číslic a špeciálnych znakov.
• Pravidelné zmeny hesla a zákaz opätovného použitia.
• Časté chyby, ktorým sa treba vyhnúť:
• Zdieľanie poverení s ostatnými.
• Zakázanie viacfaktorového overovania (MFA).
• Ukladanie hesiel do nezabezpečených súborov.

4. Pravidelne zálohujte

• Uchovávajte zálohy offline alebo v segmentovaných sieťach.
• Pravidelne testujte postupy obnovy, aby ste zabezpečili ich účinnosť.

Záverečné myšlienky

Ransomvér SamSam slúži ako drsná pripomienka, že útoky ransomvéru sa nie vždy spoliehajú na oklamanie používateľov, často zneužívajú technické slabiny. Organizácie, ktoré nedokážu zabezpečiť svoje RDP pripojenia, presadzovať prísne overovacie opatrenia alebo udržiavať správne zálohy, riskujú, že sa stanú ďalším lákadlom. Najlepšou obranou proti vyvíjajúcim sa kybernetickým hrozbám zostáva ostražitosť, viacvrstvové bezpečnostné kontroly a vzdelaná pracovná sila.