Multi-License Discount Quote
Banta sa Database Ransomware SamSam Ransomware

SamSam Ransomware

Sa pamamagitan ng Mezo sa Ransomware
Isalin To:

Ang malware ay nananatiling isa sa mga pinakamahigpit na banta sa mga indibidwal at organisasyon. Ang mga cybercriminal ay patuloy na nagbabago, bumubuo ng mga bagong diskarte sa pag-atake na idinisenyo upang pagsamantalahan ang mga kahinaan at makakuha ng labag sa batas na pag-access sa sensitibong data. Kabilang sa mga banta na ito, ang SamSam Ransomware ay namumukod-tangi bilang isang partikular na mapanganib na strain, lalo na dahil lumihis ito mula sa karaniwang mga paraan ng impeksyon na nakabatay sa phishing. Ang pag-unawa sa kung paano ito gumagana at ang pagpapatupad ng matatag na mga hakbang sa seguridad ay mahalaga sa pagpapanatiling ligtas sa iyong mga system.

Ano ang SamSam Ransomware?

Unang na-detect sa pagitan ng huling bahagi ng 2015 at unang bahagi ng 2016, ang SamSam Ransomware, na kilala rin bilang Samas o SamsamCrypt, ay mabilis na nakilala sa mga target na pag-atake nito sa mga kritikal na sektor, kabilang ang pangangalaga sa kalusugan, transportasyon, edukasyon, at mga lokal na pamahalaan. Hindi tulad ng mga karaniwang ransomware campaign na umaasa sa mga taktika ng social engineering, gumagamit ang SamSam ng direktang pagsasamantala sa network.

Bagama't sa simula ay pinaniniwalaan na nagmula sa Silangang Europa, ang mga pagsisiyasat sa kalaunan ay nag-ugnay sa malware sa mga Iranian cybercriminals, na may dalawang indibidwal na kinasuhan noong 2018. Ang epekto nito ay pandaigdigan, na may mga dokumentadong pag-atake sa United States, United Kingdom, France, Portugal, Australia, Canada, at Middle East.

Mga Kilalang-kilalang Kampanya sa Pag-atake

Kagawaran ng Transportasyon ng Colorado
Noong Pebrero 2018, ang Colorado Department of Transportation ay nahaharap sa isang malaking pagkagambala nang i-encrypt ng SamSam ang mga system nito at humingi ng pagbabayad sa Bitcoin. Ang pagtanggi na sumunod, ang CDOT ay gumastos ng tinatayang $1.7 milyon sa mga pagsisikap sa pagbawi.

Pamahalaang Lokal ng Atlanta
Noong Marso 2018, naparalisa ang lungsod ng Atlanta sa pamamagitan ng pag-atake ng SamSam na naihatid sa pamamagitan ng isang malupit na pagpasok sa Remote Desktop Protocol (RDP) nito. Naapektuhan ang mga serbisyo mula sa mga utility hanggang sa sistema ng hukuman. Ang mga umaatake ay humingi ng $51,000 sa Bitcoin, ngunit ang lungsod ay tumanggi at sa huli ay gumastos ng $2.7 milyon sa remediation.

Mga Hit sa Sektor ng Pangangalagang Pangkalusugan
Partikular na sinalanta ng SamSam ang industriya ng pangangalagang pangkalusugan, na may mga kilalang biktima kabilang ang Allied Physicians of Michiana, Hancock Health, at Allscripts. Noong 2018 lamang, ang pangangalagang pangkalusugan ay umabot sa isang-kapat ng lahat ng kilalang pag-atake ng SamSam.

Paano Gumagana ang SamSam Ransomware?

Hindi tulad ng ransomware na kumakalat sa pamamagitan ng mga email sa phishing o mga nakakahamak na attachment, ginagamit ng SamSam ang mga masusugatan na sistema at mga ninakaw na kredensyal. Ayon sa Cybersecurity & Infrastructure Security Agency (CISA), sinasamantala ng mga umaatake ang mga kahinaan sa mga server ng Windows at nakakakuha ng malayuang pag-access sa pamamagitan ng:

  • Nalantad o hindi na-patch na mga koneksyon sa RDP
  • Binili o brute-forced login credentials
  • Mga tool sa pagsasamantala tulad ng JexBoss para sa mga application ng JBoss

    • Kapag nasa loob na, pinalalaki ng mga umaatake ang mga pribilehiyo, manu-manong i-deploy ang malware, at i-encrypt ang mga kritikal na file. Ang hands-on na diskarte na ito ay nagbibigay-daan sa tumpak na pag-target at malawakang pinsala sa loob ng mga nakompromisong network.

    Ang Ransom Note at Mga Taktika sa Pagbabayad

    Pagkatapos makumpleto ang pag-encrypt, ang mga operator ng SamSam ay nag-iiwan ng ransom note na nagtuturo sa mga biktima na makipag-usap sa pamamagitan ng portal na nakabatay sa Tor. Ang mga pagbabayad ay hinihingi sa Bitcoin, at habang ang ilang mga biktima ay nakatanggap ng mga decryption key pagkatapos ng pagbabayad, walang katiyakan na igagalang ng mga umaatake ang kasunduan.

    Isang Banta pa ba si SamSam?

    Habang bumababa ang mga naisapublikong pag-atake pagkatapos ng 2018 at inaresto ang mga pangunahing operator, walang katibayan na naalis na ang ransomware. Walang opisyal na tool sa pag-decryption, ibig sabihin, ang SamSam ay dapat pa ring ituring na isang aktibong panganib.

    Palakasin ang Iyong Depensa: Pinakamahuhusay na Kasanayan sa Seguridad

    Ang pag-iwas sa impeksyon ng SamSam ay nangangailangan ng maagap na diskarte sa seguridad na nakatuon sa pagsasara ng mga kahinaan na pinagsasamantalahan nito. Narito ang mahahalagang hakbang na dapat ipatupad ng bawat organisasyon:

    1. Secure at I-audit ang RDP Access
    • Huwag paganahin ang RDP kung hindi kinakailangan.
    • Para sa mga kinakailangang serbisyo ng RDP, ipatupad ang malakas na pagpapatotoo at paghigpitan ang pag-access sa mga pinagkakatiwalaang IP address.
    • Ilapat kaagad ang pinakabagong mga patch ng seguridad upang maalis ang mga mapagsamantalang kapintasan.
    1. Ipatupad ang Prinsipyo ng Pinakamababang Pribilehiyo
    • Limitahan ang mga pahintulot ng user sa mahahalagang function lamang.
    • Gumamit ng control-based na access control para maiwasan ang malawakang pinsala mula sa iisang nakompromisong account.
    1. Magpatibay ng Matibay na Password at Mga Patakaran sa Pagpapatunay
    • Ang isang malakas na diskarte sa password ay dapat kasama ang:
    • Isang halo ng malalaking titik at maliliit na titik, numero, at mga espesyal na character.
    • Mga regular na pagbabago ng password at pagbabawal ng muling paggamit.
    • Mga karaniwang pagkakamali na dapat iwasan:
    • Pagbabahagi ng mga kredensyal sa iba.
    • Hindi pagpapagana ng multi-factor authentication (MFA).
    • Pag-iimbak ng mga password sa mga hindi secure na file.
    1. Panatilihin ang Mga Regular na Backup
    • Panatilihing offline ang mga backup o sa mga naka-segment na network.
    • Pana-panahong subukan ang mga pamamaraan ng pagpapanumbalik upang matiyak ang pagiging epektibo.

    Pangwakas na Kaisipan

    Ang SamSam ransomware ay nagsisilbing malinaw na paalala na ang mga pag-atake ng ransomware ay hindi palaging umaasa sa panlilinlang ng mga user, madalas nilang sinasamantala ang mga teknikal na kahinaan. Ang mga organisasyong nabigong ma-secure ang kanilang mga koneksyon sa RDP, magpatupad ng matibay na mga hakbang sa pagpapatotoo, o mapanatili ang wastong pag-backup ay nanganganib na maging susunod na headline. Ang pagbabantay, mga layered na kontrol sa seguridad, at isang edukadong manggagawa ay nananatiling pinakamahusay na depensa laban sa mga umuusbong na banta sa cyber.

    Mga mensahe

    Ang mga sumusunod na mensahe na nauugnay sa SamSam Ransomware ay natagpuan:

    What happened to your files?

    All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption”

    How to recover files?

    RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.

    How to get private key?

    You can get your private key in 3 easy steps:

    1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs.

    2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment

    3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered

    With buying the first key you will find that we are honest

    Trending

    Pinaka Nanood

    Naglo-load...