SamSam勒索软件
恶意软件仍然是个人和组织面临的最紧迫威胁之一。网络犯罪分子不断创新,开发新的攻击策略,旨在利用漏洞非法访问敏感数据。在这些威胁中,SamSam 勒索软件尤为危险,主要是因为它与常见的基于网络钓鱼的感染方法有所不同。了解其工作原理并实施强大的安全措施对于保障系统安全至关重要。
目录
什么是 SamSam 勒索软件?
SamSam 勒索软件(又名 Samas 或 SamsamCrypt)于 2015 年末至 2016 年初首次被发现,因其针对医疗、交通、教育和地方政府等关键行业的攻击而迅速声名狼藉。与依赖社会工程学手段的典型勒索软件活动不同,SamSam 直接利用网络漏洞进行攻击。
尽管最初人们认为该恶意软件源自东欧,但后来的调查显示它与伊朗网络犯罪分子有关,2018 年已有两人被起诉。该恶意软件的影响是全球性的,美国、英国、法国、葡萄牙、澳大利亚、加拿大和中东地区均有记录可查的攻击事件。
臭名昭著的攻击活动
科罗拉多州交通部
2018年2月,科罗拉多州交通部遭遇重大系统中断,SamSam公司加密了其系统并要求使用比特币付款。科罗拉多州交通部拒绝遵守规定,并花费了约170万美元用于恢复工作。
亚特兰大地方政府
2018年3月,亚特兰大市遭受SamSam攻击,该攻击通过远程桌面协议(RDP)的暴力破解入口实施,导致城市瘫痪。从公用事业到法院系统等各种服务都受到影响。攻击者索要价值5.1万美元的比特币,但遭到拒绝,最终花费270万美元进行补救。
医疗保健行业热门歌曲
SamSam 尤其困扰着医疗保健行业,其知名受害者包括密歇根州联合医生 (Allied Physicians of Michiana)、汉考克健康 (Hancock Health) 和 Allscripts。仅在 2018 年,医疗保健领域就占已知 SamSam 攻击总数的四分之一。
SamSam 勒索软件如何运作?
与通过钓鱼邮件或恶意附件传播的勒索软件不同,SamSam 利用的是易受攻击的系统和被盗凭证。据美国网络安全与基础设施安全局 (CISA) 称,攻击者利用 Windows 服务器的漏洞,通过以下方式获取远程访问权限:
- 暴露或未修补的 RDP 连接
- 购买或暴力破解的登录凭证
一旦进入系统,攻击者就会提升权限,手动部署恶意软件,并加密关键文件。这种亲自动手的方法可以在受感染的网络中实现精准攻击和大范围破坏。
赎金通知和付款策略
完成加密后,SamSam 运营者会留下一张赎金纸条,指示受害者通过基于 Tor 的门户进行通信。赎金要求以比特币支付,虽然一些受害者在付款后收到了解密密钥,但攻击者无法保证会遵守协议。
SamSam 仍然构成威胁吗?
虽然2018年后,公开的攻击活动有所减少,主要操作者也被捕,但没有证据表明该勒索软件已被根除。目前还没有官方解密工具,这意味着SamSam仍然应该被视为一个活跃的风险。
加强防御:最佳安全实践
预防 SamSam 感染需要采取积极主动的安全策略,重点是修复其利用的漏洞。以下是每个组织都应实施的重要步骤:
- 安全和审计 RDP 访问
- 如果不需要,请禁用 RDP。
- 对于必要的 RDP 服务,强制执行强身份验证并限制对受信任 IP 地址的访问。
- 及时应用最新的安全补丁以消除可利用的漏洞。
- 执行最小特权原则
- 将用户权限限制为仅使用基本功能。
- 使用基于角色的访问控制来防止单个受损帐户造成大范围损害。
- 采用强密码和身份验证策略
- 强密码策略应该包括:
- 大写和小写字母、数字和特殊字符的混合。
- 定期更改密码并禁止重复使用。
- 应避免的常见错误:
- 与他人共享凭证。
- 禁用多重身份验证 (MFA)。
- 将密码存储在不安全的文件中。
- 保持定期备份
- 将备份保存在离线或分段网络上。
- 定期测试恢复程序以确保有效性。
最后的想法
SamSam 勒索软件事件再次警示我们,勒索软件攻击并非总是依靠欺骗用户,它们往往利用技术漏洞。未能保障 RDP 连接安全、未能实施强身份验证措施或未能维护妥善备份的组织,将面临成为下一个头条新闻的风险。保持警惕、分层安全控制和训练有素的员工队伍,仍然是抵御不断演变的网络威胁的最佳防御手段。
留言
找到以下与SamSam勒索软件相关的消息:
|
What happened to your files? All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption” How to recover files? RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key. How to get private key? You can get your private key in 3 easy steps: 1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs. 2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment 3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered With buying the first key you will find that we are honest |
