SamSam勒索軟體

惡意軟體仍然是個人和組織面臨的最緊迫威脅之一。網路犯罪分子不斷創新，開發新的攻擊策略，旨在利用漏洞非法存取敏感資料。在這些威脅中，SamSam 勒索軟體尤其危險，主要是因為它與常見的基於網路釣魚的感染方法有所不同。了解其運作方式並實施強大的安全措施對於保障系統安全至關重要。

什麼是 SamSam 勒索軟體？

SamSam 勒索軟體（又稱 Samas 或 SamsamCrypt）於 2015 年底至 2016 年初首次被發現，因其針對醫療、交通、教育和地方政府等關鍵行業的攻擊而迅速聲名狼藉。與依賴社會工程學手段的典型勒索軟體活動不同，SamSam 直接利用網路漏洞進行攻擊。

儘管最初人們認為該惡意軟體源自東歐，但後來的調查顯示它與伊朗網路犯罪分子有關，2018 年已有兩人被起訴。該惡意軟體的影響是全球性的，美國、英國、法國、葡萄牙、澳洲、加拿大和中東地區都有記錄可查的攻擊事件。

臭名昭著的攻擊活動

科羅拉多州交通部
2018年2月，科羅拉多州交通部遭遇重大系統中斷，SamSam公司加密了其係統並要求使用比特幣付款。科羅拉多州交通部拒絕遵守規定，並花費了約170萬美元恢復工作。

亞特蘭大地方政府
2018年3月，亞特蘭大市遭受SamSam攻擊，透過遠端桌面協定（RDP）的暴力破解入口實施，導致城市癱瘓。從公用事業到法院系統等各種服務都受到影響。攻擊者要求價值5.1萬美元的比特幣，但遭到拒絕，最終花費270萬美元補救。

醫療保健產業熱門歌曲
SamSam 尤其困擾醫療保健行業，其知名受害者包括密西根州聯合醫生 (Allied Physicians of Michiana)、漢考克健康 (Hancock Health) 和 Allscripts。光是 2018 年，醫療保健領域就佔已知 SamSam 攻擊總數的四分之一。

SamSam 勒索軟體如何運作？

與透過釣魚郵件或惡意附件傳播的勒索軟體不同，SamSam 利用的是易受攻擊的系統和被盜憑證。據美國網路安全與基礎設施安全局 (CISA) 稱，攻擊者利用 Windows 伺服器的漏洞，透過以下方式取得遠端存取權限：

• 暴露或未修補的 RDP 連接
• 購買或暴力破解的登入憑證

一旦進入系統，攻擊者就會提升權限，手動部署惡意軟體，並加密關鍵檔案。這種親自動手的方法可以在受感染的網路中實現精準攻擊和大範圍破壞。

贖金通知和付款策略

完成加密後，SamSam 業者會留下一張贖金紙條，指示受害者透過基於 Tor 的入口網站進行通訊。贖金要求以比特幣支付，雖然一些受害者在付款後收到了解密金鑰，但攻擊者無法保證會遵守協議。

SamSam 仍然構成威脅嗎？

雖然2018年後，公開的攻擊活動減少，主要操作者也被逮捕，但沒有證據顯示勒索軟體已被根除。目前還沒有官方解密工具，這意味著SamSam仍然應該被視為一個活躍的風險。

加強防禦：最佳安全實踐

預防 SamSam 感染需要採取積極主動的安全策略，重點是修復其利用的漏洞。以下是每個組織都應實施的重要步驟：

1. 安全和審計 RDP 訪問

• 如果不需要，請停用 RDP。
• 對於必要的 RDP 服務，強制執行強身份驗證並限制對受信任 IP 位址的存取。
• 及時應用最新的安全性修補程式以消除可利用的漏洞。

2. 執行最小特權原則

• 將使用者權限限制為僅使用基本功能。
• 使用基於角色的存取控制來防止單一受損帳戶造成大範圍損害。

3. 採用強密碼和身份驗證策略

• 強密碼策略應該包括：
• 大寫和小寫字母、數字和特殊字元的混合。
• 定期更改密碼並禁止重複使用。
• 應避免的常見錯誤：
• 與他人共享憑證。
• 停用多重身份驗證 (MFA)。
• 將密碼儲存在不安全的檔案中。

4. 保持定期備份

• 將備份保存在離線或分段網路上。
• 定期測試恢復程序以確保有效性。

最後的想法

SamSam 勒索軟體事件再次警示我們，勒索軟體攻擊並非總是依靠欺騙用戶，它們往往利用技術漏洞。未能保障 RDP 連線安全、未實施強式驗證措施或未能維護妥善備份的組織，將面臨成為下一個頭條新聞的風險。保持警惕、分層安全控制和訓練有素的員工隊伍，仍然是抵禦不斷演變的網路威脅的最佳防御手段。