08
sie
2018
Raport Sophos na temat ransomware SamSam

Większość programów typu ransomware rozprzestrzenia się za pomocą szerokich nieukierunkowanych kampanii spamowych, wysyłanych do tysięcy, czy wręcz setek tysięcy osób, z użyciem prostych technik do infekowania ofiar. Dążą do zebrania pieniędzy za pośrednictwem dużej liczby, stosunkowo niewielkich, okupów. 

W takiej sytuacji, bardzo złą wiadomością jest to, że SamSam wyróżnia się spośród innego oprogramowania ransomware właśnie sposobem, w jaki jest wykorzystywany w atakach kierunkowych. 

Atak jest przeprowadzany zazwyczaj przez wykwalifikowany zespół lub osobę, która włamuje się do sieci ofiary i penetruje ją. Następnie, uruchamia złośliwe oprogramowanie ręcznie, dostosowując atak, w celu spowodowania maksymalnych szkód i zebrania wysokiego pojedynczego okupu.  

Kolejną złą wiadomością jest fakt, iż złośliwe oprogramowanie o takiej charakterystyce pojawiło się po raz pierwszy już w grudniu 2015r.  Zatem hackerzy mieli sporo czasu, aby dopracować sposób infekowania ofiary i uruchamiania spersonalizowanego ransomware, tak fatalnego w skutkach.  

Na dzień dzisiejszy, opanowany przez SamSam rynek amerykańskich, australijskich czy europejskich firm i instytucji państwowych, boryka się z codziennymi atakami. To powoduje, że nikt nie może czuć się bezpiecznie.  

Raport Sophos mówi o blisko 6 milionach dolarów, które oprogramowanie SamSam pozwoliło zarobić hackerom. A nowy-stary SamSam dotknął o wiele więcej osób, niż początkowo sądzono.  

Raport ujawnia też szereg świeżych informacji technicznych, w tym nowe szczegóły dotyczące tego, w jaki sposób SamSam skanuje sieci ofiar i buduje listę komputerów, które zamierza zaszyfrować oraz jak się rozprzestrzenia. W przeciwieństwie do WannaCry, które wykorzystywało lukę w oprogramowaniu do kopiowania się na nowe maszyny, SamSam jest faktycznie wdrażany na komputerach w sieci ofiary w ten sam sposób i przy użyciu tych samych narzędzi, jak legalne aplikacje. 

Sophos w swoim raporcie informuje, że atakujący uzyskuje dostęp do sieci ofiary za pośrednictwem protokołu RDP (Remote Desktop Protocol) z pomocą oprogramowania takiego jak nlbrute, aby skutecznie odgadnąć słabe hasła. 

SamSam nie posiada żadnych funkcji typu robak czy wirus, więc nie może rozprzestrzeniać się samodzielnie. Zamiast tego polega na tym, że hacker rozprzestrzenia go ręcznie, a dzięki temu może on dostosować taktykę do środowiska i mechanizmów obronnych celu. 

Po uzyskaniu dostępu do sieci, operator SamSam używa różnych narzędzi do uzyskania uprawnień administratora domeny. Następnie skanuje sieć pod kątem wartościowych celów i wdraża złośliwe oprogramowanie, prawdopodobnie używając narzędzi takich jak PsExec lub PaExec. 

Po stworzeniu wielu kopii ransomware, uruchamiany jest centralnie. Na każdej zainfekowanej maszynie pliki są szyfrowane w sposób, który ma spowodować jak największe szkody w jak najkrótszym czasie. 

Pełny raport na temat SamSam dostępny tutaj --> Raport SOPHOS

Sophos doradza co robić, aby ochronić się przed tego rodzaju zagrożeniem:  

  • Na bieżąco aktualizować system. 
  • Ograniczyć zdalny dostęp poprzez RDP do personelu łączącego się tylko przez VPN. 
  • Używać uwierzytelniania wieloskładnikowego dla dostępu przez VPN i do wrażliwych systemów wewnętrznych. 
  • Wykonywać regularne skanowanie wszystkich zasobów narażonych na ataki oraz prewencyjnie wykonywać testy penetracyjne we własnym zakresie w celu znalezienia luk. 
  • Przechowywać kopie zapasowe w trybie offline i poza siedzibą firmy. 
  • Przyjąć polityki bezpieczeństwa w oparciu o wielowarstwową zsynchronizowaną ochronę Sophos. 

Autor

Magdalena Żmuda
Your Sophos Account Manager