Port of San Diego Ransomware Attack: Aftermath of the Lowdown SamSam Malware

2018年9月25日，美國聖地亞哥港遭遇嚴重的網絡攻擊，其中包括SamSam Ransomware 。臭名昭著的惡意軟件自2015年12月以來已經感染了200多個公共和私人組織，對該港口的日常運營構成了嚴峻挑戰。然而，這些挑戰並沒有導致港口關閉一秒鐘。港口官員也沒有支付贖金，最近的更新顯示他們如何成功地保持船舶漂浮。

充分的預防是必不可少的

聖地亞哥港因其雙重作用而成為美國海事基礎設施的重要組成部分。雖然它首先服務於商業貨物和遊輪，但如果需要，該港口也可以在國防部的指揮下轉變軍事設施。這就是為什麼港口當局根據聯邦調查局在SamSam襲擊之前處理勒索軟件威脅的建議開發出電子備份系統並不奇怪。正是該備份系統允許端口官員將丟失的數據恢復為加密而無需提供所需的贖金金額。

除了定期備份之外，員工還有一些事情可以將SamSam勒索軟件攻擊的影響降至最低。首先，他們確保：

• 關閉網絡中的每台計算機。
• 使用替代PC和替代系統。
• 不必交換任何包含感染的電子郵件附件。

更重要的是，似乎SamSam Ransomware感染髮生在港口當局發起旨在增強其網絡系統安全性的活動之後，以使其能夠抵禦任何類型的網絡攻擊。雖然當時還沒有完成，但他們事先準備的準備證明足以抵擋SamSam。

運氣的中風

看起來，聖地亞哥港口的管理專員確實設法通過在此過程中做出一系列正確的決定來應對勒索軟件風暴。然而，他們的成功部分歸功於SamSam勒索軟件本身及其背後的惡意軟件參與者，因為他們專注於收集管理而非運營數據 。這就是為什麼攻擊沒有使碼頭的常規操作停止，而只是在短時間內擾亂了一些公共和商業服務。不同的攻擊方案可能會產生不同的，更不利的結果。

前所未有的財政部和聯邦調查局的回應

SamSam勒索軟件在全國范圍內針對醫院，教育機構，公司和主要政府機構的廣泛部署促使FBI對這種令人討厭的加密病毒進行刑事調查。在司法部和財政部的幫助下，調查追踪了SamSam勒索軟件對伊朗cybergang的起源。這是負責從SamSam受害者勒索比特幣的團伙. 然而，據報導，該團伙依靠兩個人--Mohammad Ghorbaniyan和Ali Khorashadizadeh--將BTC積累的財產轉換為伊朗里亞爾。根據財政部的說法，這兩位"協調人"使用了兩個比特幣地址來完成這項工作，即：

• 地址1：149w62rY42aZBox8fGcmqNsXUzSStKeq8C。
• 地址2：1AjZPMsnmpdK2Rv9KQNfMurTXinscVro9V。

在過去五年左右的時間裡，Khorashadizadeh和Ghorbaniyan已經從上述兩個地址交換了6,000個BTC。畢業典禮的一個特定部分源於SamSam勒索軟件。

對聖地亞哥港的協同攻擊以及有利的結果，最終強調了任何組織在日常打擊網絡犯罪行業時都需要採取適當的預防措施。對於後者而言，沒有跡象表明任何時候都會放緩。