什麼是SamSam Ransomware以及如何保護您的組織免受攻擊
SamSam是一個勒索軟件家族,自2015年以來一直存在。它具有這種操作的所有經典特徵:騙子將惡意程序偷偷帶入Windows計算機,加密受害者的文件,然後要求贖金以釋放數據。沒有任何革命性的或開創性的。然後,什麼使SamSam分開?
Table of Contents
強加密
信不信由你,這些天推出勒索軟件活動並不困難。事實上,很多人對計算機知之甚少,這很容易。不幸的是,有一些公開的勒索軟件家族很容易被一些無辜的人來,修改和使用。好消息是,很多這些開源項目並不是很擅長他們的設計目標。有時,他們使用相對容易破解的加密算法;有時,加密密鑰以簡單的形式留在受害者的計算機上;有時候,所有受害者都使用同一把鑰匙。因此,通常可以在不支付贖金甚至從備份恢復的情況下恢復信息。
不幸的是,SamSam並非如此。當它落在計算機上時,它首先使用Rijndael密碼加密文件。 Rijndael是高級加密標準的基礎 - 這是世界上最強大的加密算法之一。但是,如果您有Rijndael密鑰,則可以撤消加密。這就是為什麼在加擾數據之後,SamSam使用RSA 2048來加密Rijndael密鑰本身。
RSA以發明非對稱密碼系統的科學家Ron Rivest,Adi Shamir和Leonard Adleman的名字命名。它是非對稱的,因為它使用一個(公共)密鑰加密數據,而另一個(私有)密鑰用於解密數據。毋庸置疑,當SamSam騙子攻擊時,他們持有解密Rijndael密鑰的私鑰,後者反過來解密文件。如果您沒有備份,除了支付贖金或親吻您的數據之外,您別無選擇。
SamSam運營商對您的文件不感興趣
與許多其他勒索軟件團伙不同,希望通過承諾你再也不會看到你的家庭照片來嚇唬你了,SamSam工作人員的目標是那些不可避免的停電影響了大量人群的組織。
在過去兩年半的時間裡,SamSam勒索軟件實際上已經引起了大型和小型組織的一些重大安全事件。僅從今年年初開始,它一直負責Allscripts,電子健康記錄提供商,印第安納州亞特蘭大紀念館和漢考克健康醫院,亞特蘭大市以及最近的LabCorp的停電事故。
這些攻擊經過深思熟慮,正如你所看到的,儘管我們看到它們也是針對地方政府的,但SamSam團伙往往是在醫療保健組織之後。原因很簡單 - 醫院和醫療保健組織負責處理一些極其敏感的信息,沒有它,他們根本無法維持任何類型的操作。這意味著當SamSam鎖定這些數據時,騙子可以要求更多的錢。
事實上,SamSam通常偷偷摸摸地走到受害者網絡上的大多數計算機上,騙子要求數千美元用於解密一台PC,數万美元用於使整個網絡恢復正常. 3月份, 公民社會組織計算出 ,在短短幾個月內,SamSam團伙設法掏出約85萬美元的比特幣(當時的價格)。從事物的外觀來看,它是一個重要的,相當有利可圖的業務。犯罪分子不太可能很快放棄它。
感染媒介
滲透計算機網絡的最便宜和最簡單的方法是欺騙用戶執行文件或點擊鏈接。這就是為什麼所謂的malspam電子郵件和Office Macros在網絡犯罪中如此受歡迎。這是一種“噴霧和祈禱”的策略。 SamSam操作員不做“噴灑和祈禱”。
有證據表明,他們在發動襲擊之前會仔細計劃攻擊並進行一些偵察。感染向量因攻擊而異,但通常情況下,SamSam團隊通過利用面向公眾的網絡組件中未修補的漏洞或通過強制使用遠程桌面協議(或RDP)的用戶名和密碼來破解。
這意味著保護您的組織免受SamSam攻擊並不像遵循幾個步驟那麼容易。如果您的系統中存在弱點,SamSam操作員會找到它,並且他們不會害怕使用它。保護自己的唯一真正方法是保持新鮮和有效的備份,檢查所有安全和密碼策略,保護您能想到的每個組件,並保持警惕。
