SamSam ransomware

Злонамерни софтвер остаје једна од највећих претњи појединцима и организацијама. Сајбер криминалци континуирано иновирају, развијајући нове стратегије напада осмишљене да искористе рањивости и добију незаконит приступ осетљивим подацима. Међу овим претњама, SamSam Ransomware се истиче као посебно опасна врста, првенствено зато што одступа од уобичајених метода инфекције заснованих на фишингу. Разумевање како функционише и примена робусних безбедносних мера је неопходно за очување безбедности ваших система.

Шта је SamSam Ransomware?

Први пут откривен између краја 2015. и почетка 2016. године, SamSam Ransomware, такође познат као Samas или SamsamCrypt, брзо је стекао озлоглашеност због својих циљаних напада на критичне секторе, укључујући здравство, транспорт, образовање и локалне самоуправе. За разлику од типичних ransomware кампања које се ослањају на тактике социјалног инжењеринга, SamSam користи директно искоришћавање мреже.

Иако се првобитно веровало да је настао у источној Европи, истраге су касније повезале злонамерни софтвер са иранским сајбер криминалцима, а две особе су оптужене 2018. године. Његов утицај је био глобалан, са документованим нападима у Сједињеним Државама, Уједињеном Краљевству, Француској, Португалу, Аустралији, Канади и на Блиском истоку.

Злогласне нападачке кампање

Одељење за саобраћај Колорада
У фебруару 2018. године, Министарство саобраћаја Колорада суочило се са великим поремећајем када је SamSam шифровао њихове системе и захтевао плаћање у Биткоину. Одбијајући да се повинује захтеву, CDOT је потрошио око 1,7 милиона долара на напоре за опоравак.

Локална самоуправа Атланте
У марту 2018. године град Атланта је био парализован нападом SamSam-а извршеним грубом силом на његовом протоколу за удаљену радну површину (RDP). Погођене су услуге, од комуналних услуга до судског система. Нападачи су захтевали 51.000 долара у биткоинима, али је град одбио и на крају потрошио 2,7 милиона долара на санацију.

Хитови у здравственом сектору
СамСам је посебно погодио здравствену индустрију, а међу значајним жртвама су били Allied Physicians of Michiana, Hancock Health и Allscripts. Само у 2018. години, здравствена заштита је чинила четвртину свих познатих СамСам напада.

Како функционише SamSam Ransomware?

За разлику од ransomware-а који се шири путем фишинг имејлова или злонамерних прилога, SamSam користи рањиве системе и украдене акредитиве. Према Агенцији за сајбер безбедност и безбедност инфраструктуре (CISA), нападачи искоришћавају слабости у Windows серверима и добијају даљински приступ путем:

• Изложене или непатчене RDP везе
• Купљени или грубо наметнути приступ подацима за пријаву

Једном када уђу унутра, нападачи повећавају привилегије, ручно инсталирају злонамерни софтвер и шифрују критичне датотеке. Овај практични приступ омогућава прецизно циљање и широко распрострањену штету унутар угрожених мрежа.

Порука о откупнини и тактике плаћања

Након завршетка шифровања, оператери SamSam-а остављају поруку са захтевом за откуп у којој налажу жртве да комуницирају путем Tor портала. Плаћања се захтевају у Bitcoin-у, и док су неке жртве добиле кључеве за дешифровање након плаћања, нема гаранције да ће нападачи поштовати споразум.

Да ли је SamSam и даље претња?

Иако су јавно објављени напади смањени након 2018. године и кључни оператери ухапшени, нема доказа да је ransomware искорењен. Не постоји званични алат за дешифровање, што значи да SamSam и даље треба сматрати активним ризиком.

Ојачајте своју одбрану: Најбоље безбедносне праксе

Спречавање инфекције SamSam-ом захтева проактивну безбедносну стратегију усмерену на затварање рањивости које искоришћава. Ево основних корака које свака организација треба да спроведе:

1. Безбедан и ревидиран RDP приступ

• Онемогућите RDP ако није потребан.
• За неопходне RDP сервисе, спроведите јаку аутентификацију и ограничите приступ поузданим IP адресама.
• Благовремено примените најновије безбедносне закрпе како бисте елиминисали могуће пропусте.

2. Спровести принцип најмање привилегије

• Ограничите корисничка овлашћења само на основне функције.
• Користите контролу приступа засновану на улогама како бисте спречили велику штету од једног угроженог налога.

3. Усвојите јаке политике лозинки и аутентификације

• Стратегија за јаку лозинку треба да укључује:
• Мешавина великих и малих слова, бројева и специјалних знакова.
• Редовне промене лозинки и забрана поновне употребе.
• Уобичајене грешке које треба избегавати:
• Дељење акредитива са другима.
• Онемогућавање вишефакторске аутентификације (MFA).
• Чување лозинки у необезбеђеним датотекама.

4. Редовно правите резервне копије

• Чувајте резервне копије ван мреже или на сегментираним мрежама.
• Периодично тестирајте поступке рестаурације како бисте осигурали ефикасност.

Завршне мисли

SamSam ransomware служи као оштар подсетник да напади ransomware-а не ослањају се увек на превару корисника, већ често искоришћавају техничке слабости. Организације које не успевају да обезбеде своје RDP везе, примене јаке мере аутентификације или одржавају одговарајуће резервне копије ризикују да постану следећи наслов. Будност, слојевите безбедносне контроле и образована радна снага остају најбоља одбрана од еволуирајућих сајбер претњи.