SamSam Програма-вимагач

Шкідливе програмне забезпечення залишається однією з найактуальніших загроз як для окремих осіб, так і для організацій. Кіберзлочинці постійно впроваджують інновації, розробляючи нові стратегії атак, спрямовані на використання вразливостей та отримання незаконного доступу до конфіденційних даних. Серед цих загроз SamSam Ransomware виділяється як особливо небезпечний штам, головним чином тому, що він відрізняється від звичайних методів зараження на основі фішингу. Розуміння того, як він працює, та впровадження надійних заходів безпеки є важливим для забезпечення безпеки ваших систем.

Що таке програма-вимагач SamSam?

Вперше виявлена між кінцем 2015 та початком 2016 року, програма-вимагач SamSam, також відома як Samas або SamsamCrypt, швидко здобула сумну популярність завдяки своїм цілеспрямованим атакам на критично важливі сектори, включаючи охорону здоров'я, транспорт, освіту та місцеве самоврядування. На відміну від типових кампаній програм-вимагачів, які спираються на тактику соціальної інженерії, SamSam використовує пряме мережеве використання.

Хоча спочатку вважалося, що шкідливе програмне забезпечення походить зі Східної Європи, пізніше розслідування пов’язали шкідливе програмне забезпечення з іранськими кіберзлочинцями, і у 2018 році двом особам було висунуто звинувачення. Його вплив був глобальним, із задокументованими атаками у Сполучених Штатах, Великій Британії, Франції, Португалії, Австралії, Канаді та на Близькому Сході.

Сумнозвісні атакуючі кампанії

Департамент транспорту Колорадо
У лютому 2018 року Департамент транспорту Колорадо зіткнувся з серйозними збоями, коли SamSam зашифрував його системи та вимагав оплати в біткойнах. Відмовившись виконати вимогу, CDOT витратив приблизно 1,7 мільйона доларів на відновлення даних.

Місцеве самоврядування Атланти
У березні 2018 року місто Атланта було паралізовано атакою SamSam, здійсненою методом грубої сили через протокол віддаленого робочого столу (RDP). Постраждали різні сервіси, від комунальних служб до судової системи. Зловмисники вимагали 51 000 доларів у біткоїнах, але місто відмовилося і зрештою витратило 2,7 мільйона доларів на усунення наслідків.

Хіти сектору охорони здоров'я
SamSam особливо вразив галузь охорони здоров'я, серед відомих жертв були Allied Physicians of Michiana, Hancock Health та Allscripts. Тільки у 2018 році на охорону здоров'я припадала чверть усіх відомих атак SamSam.

Як працює програма-вимагач SamSam?

На відміну від програм-вимагачів, що поширюються через фішингові електронні листи або шкідливі вкладення, SamSam використовує вразливі системи та викрадені облікові дані. За даними Агентства з кібербезпеки та безпеки інфраструктури (CISA), зловмисники використовують слабкі місця в серверах Windows та отримують віддалений доступ через:

• Відкриті або непатчені RDP-з'єднання
• Куплені або здійснені шляхом грубої зброї облікові дані для входу

• Інструменти експлуатації, такі як JexBoss для додатків JBoss

Потрапивши всередину, зловмисники підвищують привілеї, вручну розгортають шкідливе програмне забезпечення та шифрують критично важливі файли. Такий практичний підхід дозволяє точно таргетувати та завдавати значної шкоди в уражених мережах.

Записка про викуп та тактика оплати

Після завершення шифрування оператори SamSam залишають записку з вимогою викупу, в якій жертвам доручають спілкуватися через портал на базі Tor. Оплата вимагається в біткоїнах, і хоча деякі жертви отримали ключі розшифрування після оплати, немає гарантії, що зловмисники виконають угоду.

Чи SamSam все ще становить загрозу?

Хоча після 2018 року кількість розголошених атак зменшилася, а ключових операторів було заарештовано, немає жодних доказів того, що програму-вимагач було знищено. Офіційного інструменту розшифрування не існує, а це означає, що SamSam все ще слід вважати активною загрозою.

Зміцніть свій захист: найкращі практики безпеки

Запобігання зараженню SamSam вимагає проактивної стратегії безпеки, спрямованої на усунення вразливостей, які вона використовує. Ось важливі кроки, які повинна впровадити кожна організація:

1. Безпечний та аудитований доступ до RDP

• Вимкніть RDP, якщо він не потрібен.
• Для необхідних RDP-сервісів застосуйте надійну автентифікацію та обмежте доступ до довірених IP-адрес.
• Негайно встановлюйте найновіші оновлення безпеки, щоб усунути вразливості, які можна використовувати.

2. Забезпечити дотримання принципу найменших привілеїв

• Обмежте дозволи користувачів лише основними функціями.
• Використовуйте контроль доступу на основі ролей, щоб запобігти масштабній шкоді від одного скомпрометованого облікового запису.

3. Впроваджуйте надійні політики паролів та автентифікації

• Стратегія створення надійних паролів повинна включати:
• Поєднання великих та малих літер, цифр та спеціальних символів.
• Регулярна зміна паролів та заборона повторного використання.
• Типові помилки, яких слід уникати:
• Спільне використання облікових даних з іншими.
• Вимкнення багатофакторної автентифікації (MFA).
• Зберігання паролів у незахищених файлах.

4. Регулярно створюйте резервні копії

• Зберігайте резервні копії офлайн або в сегментованих мережах.
• Періодично перевіряйте процедури відновлення, щоб переконатися в їхній ефективності.

Заключні думки

Програма-вимагач SamSam служить яскравим нагадуванням про те, що атаки програм-вимагачів не завжди покладаються на обман користувачів, вони часто використовують технічні слабкі місця. Організації, які не захищають свої RDP-з'єднання, не впроваджують надійні заходи автентифікації або не підтримують належне резервне копіювання, ризикують стати наступною темою новин. Пильність, багаторівневі засоби контролю безпеки та освічена робоча сила залишаються найкращим захистом від кіберзагроз, що постійно розвиваються.