Phần mềm tống tiền SamSam

Phần mềm độc hại vẫn là một trong những mối đe dọa cấp bách nhất đối với cả cá nhân và tổ chức. Tội phạm mạng liên tục đổi mới, phát triển các chiến lược tấn công mới được thiết kế để khai thác lỗ hổng bảo mật và truy cập trái phép vào dữ liệu nhạy cảm. Trong số các mối đe dọa này, SamSam Ransomware nổi bật là một biến thể đặc biệt nguy hiểm, chủ yếu vì nó khác biệt so với các phương thức lây nhiễm dựa trên lừa đảo thông thường. Việc hiểu rõ cách thức hoạt động của nó và triển khai các biện pháp bảo mật mạnh mẽ là điều cần thiết để giữ an toàn cho hệ thống của bạn.

Ransomware SamSam là gì?

Được phát hiện lần đầu tiên vào cuối năm 2015 đến đầu năm 2016, mã độc tống tiền SamSam, còn được gọi là Samas hoặc SamsamCrypt, nhanh chóng trở nên khét tiếng vì các cuộc tấn công nhắm vào các lĩnh vực quan trọng, bao gồm y tế, giao thông vận tải, giáo dục và chính quyền địa phương. Không giống như các chiến dịch tống tiền thông thường dựa vào chiến thuật kỹ thuật xã hội, SamSam sử dụng khai thác mạng trực tiếp.

Mặc dù ban đầu người ta cho rằng phần mềm độc hại này có nguồn gốc từ Đông Âu, nhưng các cuộc điều tra sau đó đã liên kết phần mềm độc hại này với tội phạm mạng Iran, với hai cá nhân bị truy tố vào năm 2018. Tác động của nó mang tính toàn cầu, với các cuộc tấn công được ghi nhận ở Hoa Kỳ, Vương quốc Anh, Pháp, Bồ Đào Nha, Úc, Canada và Trung Đông.

Chiến dịch tấn công khét tiếng

Sở Giao thông Vận tải Colorado
Vào tháng 2 năm 2018, Sở Giao thông Vận tải Colorado đã phải đối mặt với sự gián đoạn nghiêm trọng khi SamSam mã hóa hệ thống của Sở và yêu cầu thanh toán bằng Bitcoin. Từ chối tuân thủ, CDOT đã chi khoảng 1,7 triệu đô la cho các nỗ lực phục hồi.

Chính quyền địa phương Atlanta
Tháng 3 năm 2018, thành phố Atlanta bị tê liệt bởi một cuộc tấn công SamSam thông qua phương thức tấn công brute-force vào Giao thức Máy tính Từ xa (RDP). Các dịch vụ từ tiện ích đến hệ thống tòa án đều bị ảnh hưởng. Những kẻ tấn công yêu cầu 51.000 đô la tiền Bitcoin, nhưng thành phố đã từ chối và cuối cùng đã chi 2,7 triệu đô la để khắc phục hậu quả.

Ngành chăm sóc sức khỏe bị ảnh hưởng
SamSam đặc biệt gây ảnh hưởng nghiêm trọng đến ngành chăm sóc sức khỏe, với các nạn nhân đáng chú ý bao gồm Allied Physicians of Michiana, Hancock Health và Allscripts. Chỉ riêng trong năm 2018, ngành chăm sóc sức khỏe chiếm một phần tư tổng số vụ tấn công SamSam được biết đến.

Ransomware SamSam hoạt động như thế nào?

Không giống như ransomware lây lan qua email lừa đảo hoặc tệp đính kèm độc hại, SamSam lợi dụng các hệ thống dễ bị tấn công và thông tin đăng nhập bị đánh cắp. Theo Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA), kẻ tấn công khai thác điểm yếu trên máy chủ Windows và truy cập từ xa thông qua:

• Kết nối RDP bị lộ hoặc chưa được vá
• Thông tin đăng nhập đã mua hoặc bị tấn công

• Các công cụ khai thác như JexBoss cho các ứng dụng JBoss

Một khi đã xâm nhập, kẻ tấn công sẽ leo thang đặc quyền, triển khai phần mềm độc hại theo cách thủ công và mã hóa các tệp quan trọng. Cách tiếp cận thực tế này cho phép nhắm mục tiêu chính xác và gây thiệt hại trên diện rộng trong các mạng bị xâm nhập.

Tiền chuộc và chiến thuật thanh toán

Sau khi hoàn tất mã hóa, kẻ tấn công SamSam để lại một thông báo đòi tiền chuộc, hướng dẫn nạn nhân giao tiếp qua cổng Tor. Tiền chuộc được yêu cầu thanh toán bằng Bitcoin, và mặc dù một số nạn nhân đã nhận được khóa giải mã sau khi thanh toán, nhưng không có gì đảm bảo rằng kẻ tấn công sẽ thực hiện đúng thỏa thuận.

Liệu SamSam có còn là mối đe dọa không?

Mặc dù các cuộc tấn công công khai đã giảm dần sau năm 2018 và các hacker chủ chốt đã bị bắt giữ, nhưng vẫn chưa có bằng chứng nào cho thấy ransomware này đã bị tiêu diệt. Không có công cụ giải mã chính thức nào tồn tại, nghĩa là SamSam vẫn nên được coi là một mối đe dọa đang hoạt động.

Tăng cường phòng thủ của bạn: Các biện pháp bảo mật tốt nhất

Việc ngăn chặn lây nhiễm SamSam đòi hỏi một chiến lược bảo mật chủ động tập trung vào việc vá các lỗ hổng mà nó khai thác. Dưới đây là các bước thiết yếu mà mọi tổ chức nên thực hiện:

1. Bảo mật và kiểm tra quyền truy cập RDP

• Tắt RDP nếu không cần thiết.
• Đối với các dịch vụ RDP cần thiết, hãy thực thi xác thực mạnh và hạn chế quyền truy cập vào các địa chỉ IP đáng tin cậy.
• Áp dụng các bản vá bảo mật mới nhất ngay lập tức để loại bỏ các lỗ hổng có thể khai thác.

2. Thực thi Nguyên tắc đặc quyền tối thiểu

• Chỉ giới hạn quyền của người dùng đối với các chức năng cần thiết.
• Sử dụng kiểm soát truy cập dựa trên vai trò để ngăn chặn thiệt hại lan rộng từ một tài khoản bị xâm phạm.

3. Áp dụng chính sách xác thực và mật khẩu mạnh

• Một chiến lược mật khẩu mạnh nên bao gồm:
• Sự kết hợp giữa chữ hoa, chữ thường, số và ký tự đặc biệt.
• Thay đổi mật khẩu thường xuyên và cấm sử dụng lại.
• Những sai lầm thường gặp cần tránh:
• Chia sẻ thông tin xác thực với người khác.
• Vô hiệu hóa xác thực đa yếu tố (MFA).
• Lưu trữ mật khẩu trong các tập tin không an toàn.

4. Duy trì sao lưu thường xuyên

• Lưu trữ bản sao lưu ngoại tuyến hoặc trên các mạng phân đoạn.
• Kiểm tra quy trình phục hồi định kỳ để đảm bảo hiệu quả.

Suy nghĩ cuối cùng

Mã độc tống tiền SamSam là một lời nhắc nhở nghiêm khắc rằng các cuộc tấn công mã độc tống tiền không phải lúc nào cũng dựa vào việc lừa đảo người dùng, mà thường khai thác các điểm yếu kỹ thuật. Các tổ chức không bảo mật kết nối RDP, không thực thi các biện pháp xác thực mạnh mẽ hoặc không duy trì sao lưu đúng cách có nguy cơ trở thành tâm điểm chú ý tiếp theo. Sự cảnh giác, kiểm soát an ninh nhiều lớp và lực lượng lao động được đào tạo bài bản vẫn là biện pháp phòng thủ tốt nhất chống lại các mối đe dọa an ninh mạng đang ngày càng gia tăng.