SamSam Ransomware
มัลแวร์ยังคงเป็นหนึ่งในภัยคุกคามที่เร่งด่วนที่สุดทั้งต่อบุคคลและองค์กร อาชญากรไซเบอร์คิดค้นนวัตกรรมใหม่ๆ อย่างต่อเนื่อง พัฒนากลยุทธ์การโจมตีใหม่ๆ ที่ออกแบบมาเพื่อใช้ประโยชน์จากช่องโหว่และเข้าถึงข้อมูลสำคัญอย่างผิดกฎหมาย ในบรรดาภัยคุกคามเหล่านี้ แรนซัมแวร์ SamSam ถือเป็นสายพันธุ์ที่อันตรายอย่างยิ่ง เนื่องจากแตกต่างจากวิธีการฟิชชิ่งแบบเดิมๆ การทำความเข้าใจกลไกการทำงานของแรนซัมแวร์และการนำมาตรการรักษาความปลอดภัยที่แข็งแกร่งมาใช้เป็นสิ่งสำคัญอย่างยิ่งต่อการรักษาความปลอดภัยของระบบของคุณ
สารบัญ
SamSam Ransomware คืออะไร?
SamSam Ransomware หรือที่รู้จักกันในชื่อ Samas หรือ SamsamCrypt ถูกตรวจพบครั้งแรกระหว่างปลายปี 2015 ถึงต้นปี 2016 และเริ่มเป็นที่รู้จักอย่างรวดเร็วจากการโจมตีแบบเจาะจงเป้าหมายไปยังภาคส่วนสำคัญๆ ซึ่งรวมถึงการดูแลสุขภาพ การขนส่ง การศึกษา และหน่วยงานรัฐบาลท้องถิ่น SamSam แตกต่างจากแรนซัมแวร์ทั่วไปที่ใช้กลยุทธ์ทางวิศวกรรมสังคม โดยใช้ประโยชน์จากเครือข่ายโดยตรง
แม้ว่าในตอนแรกเชื่อกันว่ามัลแวร์มีต้นกำเนิดในยุโรปตะวันออก แต่การสืบสวนในเวลาต่อมาได้เชื่อมโยงมัลแวร์เข้ากับอาชญากรไซเบอร์ชาวอิหร่าน โดยมีผู้ถูกตั้งข้อกล่าวหา 2 รายในปี 2018 ผลกระทบดังกล่าวเกิดขึ้นทั่วโลก โดยมีการบันทึกการโจมตีในสหรัฐอเมริกา สหราชอาณาจักร ฝรั่งเศส โปรตุเกส ออสเตรเลีย แคนาดา และตะวันออกกลาง
แคมเปญโจมตีที่ฉาวโฉ่
กรมการขนส่งแห่งรัฐโคโลราโด
ในเดือนกุมภาพันธ์ 2018 กรมการขนส่งแห่งรัฐโคโลราโดประสบปัญหาใหญ่หลวง เมื่อ SamSam เข้ารหัสระบบและเรียกร้องให้ชำระเงินด้วย Bitcoin CDOT ปฏิเสธที่จะปฏิบัติตาม และได้ใช้งบประมาณประมาณ 1.7 ล้านดอลลาร์สหรัฐฯ ในการฟื้นฟู
รัฐบาลท้องถิ่นแอตแลนตา
เดือนมีนาคม 2561 เมืองแอตแลนตาถูกโจมตีอย่างหนักด้วยการโจมตีแบบ SamSam ผ่านการโจมตีแบบ Brute-Force บน Remote Desktop Protocol (RDP) บริการต่างๆ ตั้งแต่สาธารณูปโภคไปจนถึงระบบศาลได้รับผลกระทบ ผู้โจมตีเรียกร้องเงิน 51,000 ดอลลาร์สหรัฐฯ เป็น Bitcoin แต่เมืองแอตแลนตาปฏิเสธ และสุดท้ายต้องจ่ายเงิน 2.7 ล้านดอลลาร์สหรัฐฯ เพื่อแก้ไข
ผลกระทบจากภาคการดูแลสุขภาพ
SamSam สร้างความเดือดร้อนให้กับอุตสาหกรรมการดูแลสุขภาพเป็นอย่างมาก โดยมีเหยื่อที่โด่งดัง ได้แก่ Allied Physicians of Michiana, Hancock Health และ Allscripts ในปี 2018 เพียงปีเดียว วงการการดูแลสุขภาพคิดเป็นหนึ่งในสี่ของการโจมตี SamSam ทั้งหมดที่รู้จัก
SamSam Ransomware ทำงานอย่างไร?
ต่างจากแรนซัมแวร์ที่แพร่กระจายผ่านอีเมลฟิชชิงหรือไฟล์แนบที่เป็นอันตราย SamSam ใช้ประโยชน์จากระบบที่มีช่องโหว่และข้อมูลประจำตัวที่ถูกขโมยไป สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ระบุว่า ผู้โจมตีใช้ประโยชน์จากจุดอ่อนในเซิร์ฟเวอร์ Windows และเข้าถึงระยะไกลผ่าน:
- การเชื่อมต่อ RDP ที่เปิดเผยหรือไม่ได้รับการแก้ไข
- ข้อมูลการเข้าสู่ระบบที่ซื้อมาหรือถูกบังคับ
- เครื่องมือการใช้ประโยชน์เช่น JexBoss สำหรับแอปพลิเคชัน JBoss
เมื่อเข้าไปแล้ว ผู้โจมตีจะยกระดับสิทธิ์ ปล่อยมัลแวร์ด้วยตนเอง และเข้ารหัสไฟล์สำคัญ วิธีการเชิงปฏิบัตินี้ช่วยให้สามารถกำหนดเป้าหมายได้อย่างแม่นยำและสร้างความเสียหายเป็นวงกว้างภายในเครือข่ายที่ถูกบุกรุก
กลวิธีการบันทึกค่าไถ่และการชำระเงิน
หลังจากเข้ารหัสเสร็จสิ้น เจ้าหน้าที่ SamSam จะทิ้งข้อความเรียกค่าไถ่เพื่อแนะนำให้เหยื่อติดต่อสื่อสารผ่านพอร์ทัลที่ใช้ Tor การชำระเงินจะถูกเรียกเก็บเงินเป็นบิตคอยน์ และแม้ว่าเหยื่อบางรายจะได้รับคีย์ถอดรหัสหลังการชำระเงิน แต่ก็ไม่มีการรับประกันว่าผู้โจมตีจะปฏิบัติตามข้อตกลง
SamSam ยังคงเป็นภัยคุกคามอยู่หรือไม่?
แม้ว่าการโจมตีที่เผยแพร่สู่สาธารณะจะลดน้อยลงหลังปี 2018 และผู้ดำเนินการรายสำคัญถูกจับกุม แต่ก็ไม่มีหลักฐานว่าแรนซัมแวร์ถูกกำจัดไปแล้ว ไม่มีเครื่องมือถอดรหัสอย่างเป็นทางการ ซึ่งหมายความว่า SamSam ยังคงถูกพิจารณาว่าเป็นความเสี่ยงอยู่
เสริมสร้างการป้องกันของคุณ: แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด
การป้องกันการติดไวรัส SamSam จำเป็นต้องมีกลยุทธ์ความปลอดภัยเชิงรุกที่มุ่งเน้นการปิดช่องโหว่ที่มักถูกโจมตี ต่อไปนี้คือขั้นตอนสำคัญที่ทุกองค์กรควรนำไปปฏิบัติ:
- การรักษาความปลอดภัยและตรวจสอบการเข้าถึง RDP
- ปิดใช้งาน RDP หากไม่จำเป็น
- สำหรับบริการ RDP ที่จำเป็น ให้บังคับใช้การตรวจสอบสิทธิ์ที่รัดกุมและจำกัดการเข้าถึงที่อยู่ IP ที่เชื่อถือได้
- ใช้แพตช์ความปลอดภัยล่าสุดทันทีเพื่อกำจัดจุดบกพร่องที่สามารถใช้ประโยชน์ได้
- บังคับใช้หลักการของสิทธิพิเศษน้อยที่สุด
- จำกัดสิทธิ์ผู้ใช้ให้ใช้ได้เฉพาะฟังก์ชั่นที่จำเป็นเท่านั้น
- ใช้การควบคุมการเข้าถึงตามบทบาทเพื่อป้องกันความเสียหายที่แพร่หลายจากบัญชีที่ถูกบุกรุกเพียงบัญชีเดียว
- ใช้รหัสผ่านที่แข็งแกร่งและนโยบายการตรวจสอบสิทธิ์
- กลยุทธ์รหัสผ่านที่แข็งแกร่งควรประกอบด้วย:
- การผสมผสานระหว่างตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก ตัวเลข และอักขระพิเศษ
- การเปลี่ยนรหัสผ่านเป็นประจำและห้ามใช้ซ้ำ
- ข้อผิดพลาดทั่วไปที่ควรหลีกเลี่ยง:
- การแบ่งปันข้อมูลประจำตัวกับผู้อื่น
- การปิดใช้งานการตรวจสอบปัจจัยหลายประการ (MFA)
- การจัดเก็บรหัสผ่านในไฟล์ที่ไม่ปลอดภัย
- รักษาการสำรองข้อมูลเป็นประจำ
- เก็บสำรองข้อมูลแบบออฟไลน์หรือบนเครือข่ายแบบแบ่งกลุ่ม
- ทดสอบขั้นตอนการฟื้นฟูเป็นระยะเพื่อให้แน่ใจว่ามีประสิทธิผล
ความคิดสุดท้าย
แรนซัมแวร์ SamSam ถือเป็นเครื่องเตือนใจที่ชัดเจนว่าการโจมตีด้วยแรนซัมแวร์ไม่ได้อาศัยการหลอกลวงผู้ใช้เสมอไป แต่มักใช้ประโยชน์จากจุดอ่อนทางเทคนิค องค์กรที่ล้มเหลวในการรักษาความปลอดภัยการเชื่อมต่อ RDP บังคับใช้มาตรการยืนยันตัวตนที่เข้มงวด หรือรักษาระบบสำรองข้อมูลให้เหมาะสม มีความเสี่ยงที่จะกลายเป็นข่าวพาดหัวต่อไป ความระมัดระวัง การควบคุมความปลอดภัยแบบหลายชั้น และบุคลากรที่มีความรู้ ยังคงเป็นเกราะป้องกันที่ดีที่สุดต่อภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ SamSam Ransomware:
|
What happened to your files? All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption” How to recover files? RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key. How to get private key? You can get your private key in 3 easy steps: 1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs. 2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment 3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered With buying the first key you will find that we are honest |
