Port of San Diego Ransomware Attack: Aftermath of the Lowdown SamSam Malware

2018年9月25日，美国圣地亚哥港遭遇严重的网络攻击，其中包括SamSam Ransomware 。臭名昭着的恶意软件自2015年12月以来已经感染了200多个公共和私人组织，对该港口的日常运营构成了严峻挑战。然而，这些挑战并没有导致港口关闭一秒钟。港口官员也没有支付赎金，最近的更新显示他们如何成功地保持船舶漂浮。

充分的预防是必不可少的

圣地亚哥港因其双重作用而成为美国海事基础设施的重要组成部分。虽然它首先服务于商业货物和游轮，但如果需要，该港口也可以在国防部的指挥下转变军事设施。这就是为什么港口当局根据联邦调查局在SamSam袭击之前处理勒索软件威胁的建议开发出电子备份系统并不奇怪。正是该备份系统允许端口官员将丢失的数据恢复为加密而无需提供所需的赎金金额。

除了定期备份之外，员工还有一些事情可以将SamSam勒索软件攻击的影响降至最低。首先，他们确保：

• 关闭网络中的每台计算机。
• 使用替代PC和替代系统。
• 不必交换任何包含感染的电子邮件附件。

更重要的是，似乎SamSam Ransomware感染发生在港口当局发起旨在增强其网络系统安全性的活动之后，以使其能够抵御任何类型的网络攻击。虽然当时还没有完成，但他们事先准备的准备证明足以抵挡SamSam。

运气的中风

看起来，圣地亚哥港口的管理专员确实设法通过在此过程中做出一系列正确的决定来应对勒索软件风暴。然而，他们的成功部分归功于SamSam勒索软件本身及其背后的恶意软件参与者，因为他们专注于收集管理而非运营数据 。这就是为什么攻击没有使码头的常规操作停止，而只是在短时间内扰乱了一些公共和商业服务。不同的攻击方案可能会产生不同的，更不利的结果。

前所未有的财政部和联邦调查局的回应

SamSam勒索软件在全国范围内针对医院，教育机构，公司和主要政府机构的广泛部署促使FBI对这种令人讨厌的加密病毒进行刑事调查。在司法部和财政部的帮助下，调查追踪了SamSam勒索软件对伊朗cybergang的起源。这是负责从SamSam受害者勒索比特币的团伙. 然而，据报道，该团伙依靠两个人--Mohammad Ghorbaniyan和Ali Khorashadizadeh--将BTC积累的财产转换为伊朗里亚尔。根据财政部的说法，这两位"协调人"使用了两个比特币地址来完成这项工作，即：

• 地址1：149w62rY42aZBox8fGcmqNsXUzSStKeq8C。
• 地址2：1AjZPMsnmpdK2Rv9KQNfMurTXinscVro9V。

在过去五年左右的时间里，Khorashadizadeh和Ghorbaniyan已经从上述两个地址交换了6,000个BTC。毕业典礼的一个特定部分源于SamSam勒索软件。

对圣地亚哥港的协同攻击以及有利的结果，最终强调了任何组织在日常打击网络犯罪行业时都需要采取适当的预防措施。对于后者而言，没有迹象表明任何时候都会放缓。