Izsiljevalska programska oprema SamSam

Zlonamerna programska oprema ostaja ena najnujnejših groženj tako posameznikom kot organizacijam. Kibernetski kriminalci nenehno uvajajo inovacije in razvijajo nove strategije napadov, namenjene izkoriščanju ranljivosti in pridobivanju nezakonitega dostopa do občutljivih podatkov. Med temi grožnjami izstopa izsiljevalska programska oprema SamSam kot še posebej nevaren sev, predvsem zato, ker odstopa od običajnih metod okužbe, ki temelji na lažnem predstavljanju. Razumevanje delovanja in izvajanje robustnih varnostnih ukrepov je bistvenega pomena za varnost vaših sistemov.

Kaj je izsiljevalska programska oprema SamSam?

Izsiljevalska programska oprema SamSam, znana tudi kot Samas ali SamsamCrypt, je bila prvič odkrita med koncem leta 2015 in začetkom leta 2016 in je hitro postala zloglasna zaradi ciljno usmerjenih napadov na kritične sektorje, vključno z zdravstvom, prometom, izobraževanjem in lokalnimi oblastmi. Za razliko od tipičnih izsiljevalskih kampanj, ki se zanašajo na taktike socialnega inženiringa, SamSam uporablja neposredno izkoriščanje omrežja.

Čeprav se je sprva domnevalo, da izvira iz vzhodne Evrope, so preiskave kasneje povezale zlonamerno programsko opremo z iranskimi kibernetskimi kriminalci, leta 2018 pa sta bili obtoženi dve osebi. Njen vpliv je bil globalen, z dokumentiranimi napadi v Združenih državah Amerike, Združenem kraljestvu, Franciji, na Portugalskem, v Avstraliji, Kanadi in na Bližnjem vzhodu.

Zloglasne napadalne kampanje

Ministrstvo za promet v Koloradu
Februarja 2018 se je ministrstvo za promet v Koloradu soočilo z veliko motnjo, ko je SamSam šifriral njihove sisteme in zahteval plačilo v bitcoinih. Ker CDOT ni želel ugoditi zahtevi, je za prizadevanja za obnovitev porabil približno 1,7 milijona dolarjev.

Lokalna uprava Atlante
Marca 2018 je mesto Atlanta ohromil napad SamSam, izveden z vnosom z grobo silo v protokol oddaljenega namizja (RDP). Prizadete so bile storitve, od komunalnih storitev do sodnega sistema. Napadalci so zahtevali 51.000 dolarjev v bitcoinih, vendar je mesto to zavrnilo in na koncu za sanacijo porabilo 2,7 milijona dolarjev.

Uspehi v zdravstvenem sektorju
SamSam je še posebej prizadel zdravstveni sektor, med pomembnimi žrtvami pa so bili Allied Physicians of Michiana, Hancock Health in Allscripts. Samo leta 2018 je zdravstvo predstavljalo četrtino vseh znanih napadov SamSam.

Kako deluje izsiljevalska programska oprema SamSam?

Za razliko od izsiljevalske programske opreme, ki se širi prek lažnih e-poštnih sporočil ali zlonamernih prilog, SamSam izkorišča ranljive sisteme in ukradene poverilnice. Po podatkih Agencije za kibernetsko varnost in varnost infrastrukture (CISA) napadalci izkoriščajo slabosti v strežnikih Windows in pridobivajo oddaljeni dostop prek:

• Izpostavljene ali nezakrpane povezave RDP
• Kupljene ali vsiljene prijavne poverilnice

• Orodja za izkoriščanje, kot je JexBoss za aplikacije JBoss

Ko so enkrat v omrežju, napadalci povečajo privilegije, ročno namestijo zlonamerno programsko opremo in šifrirajo kritične datoteke. Ta praktični pristop omogoča natančno ciljanje in obsežno škodo znotraj ogroženih omrežij.

Odkupnino in taktike plačila

Po končanem šifriranju operaterji SamSama pustijo sporočilo z zahtevo za odkupnino, v katerem žrtvam naročijo, naj komunicirajo prek portala, ki temelji na platformi Tor. Plačila se zahtevajo v bitcoinih, in čeprav so nekatere žrtve po plačilu prejele ključe za dešifriranje, ni zagotovila, da bodo napadalci spoštovali dogovor.

Je SamSam še vedno grožnja?

Čeprav so se po letu 2018 javno objavljeni napadi zmanjšali in so bili ključni operaterji aretirani, ni dokazov, da je bila izsiljevalska programska oprema izkoreninjena. Uradnega orodja za dešifriranje ne obstaja, kar pomeni, da bi morali SamSam še vedno obravnavati kot aktivno tveganje.

Okrepite svojo obrambo: najboljše varnostne prakse

Preprečevanje okužbe s SamSamom zahteva proaktivno varnostno strategijo, osredotočeno na odpravljanje ranljivosti, ki jih izkorišča. Tukaj so bistveni koraki, ki bi jih morala izvesti vsaka organizacija:

1. Zaščiten in nadzorovan dostop RDP

• Onemogočite RDP, če ga ne potrebujete.
• Za potrebne storitve RDP uveljavite močno preverjanje pristnosti in omejite dostop do zaupanja vrednih naslovov IP.
• Pravočasno namestite najnovejše varnostne popravke, da odpravite morebitne pomanjkljivosti.

2. Uveljavljanje načela najmanjših privilegijev

• Uporabniška dovoljenja omejite le na bistvene funkcije.
• Uporabite nadzor dostopa na podlagi vlog, da preprečite obsežno škodo zaradi enega samega ogroženega računa.

3. Sprejmite močna pravila za gesla in preverjanje pristnosti

• Strategija za močno geslo mora vključevati:
• Mešanica velikih in malih črk, številk in posebnih znakov.
• Redne spremembe gesel in prepoved ponovne uporabe.
• Pogoste napake, ki se jim je treba izogniti:
• Deljenje poverilnic z drugimi.
• Onemogočanje večfaktorske avtentikacije (MFA).
• Shranjevanje gesel v nezaščitenih datotekah.

4. Redno vzdržujte varnostne kopije

• Varnostne kopije hranite brez povezave ali v segmentiranih omrežjih.
• Redno preverjajte postopke obnove, da zagotovite učinkovitost.

Zaključne misli

Izsiljevalska programska oprema SamSam nas ostro opominja, da napadi izsiljevalske programske opreme niso vedno odvisni od zavajanja uporabnikov, temveč pogosto izkoriščajo tehnične slabosti. Organizacije, ki ne zavarujejo svojih povezav RDP, ne uveljavljajo močnih ukrepov za preverjanje pristnosti ali ne vzdržujejo ustreznih varnostnih kopij, tvegajo, da bodo postale naslednja glavna tema novic. Budnost, večplastni varnostni nadzor in izobražena delovna sila ostajajo najboljša obramba pred razvijajočimi se kibernetskimi grožnjami.