Nul
SamSam ransomware er stadig plager organisationer på tværs af USA, med nye angreb mod 67 nye mål – herunder mindst én, der er involveret med at administrere de kommende midtvejs valg.
Malware er designet på en sådan måde, at det i tillæg til at kryptere filer og data på tværs af mål-netværk, er det også går efter backups som et middel til at sikre, at ofrene er virkelig tilbage med intet andet valg end at give efter og betale løsepenge.
Disse taktikker arbejder, som gruppen bag SamSam menes at have lavet over $6m fra løsepenge betalinger, ofte krævende over $50.000 i bitcoin til at genoprette systemer.
I modsætning til andre ransomware angreb, som ofte bare spammet ud til de potentielle ofre via phishing-e-mails, SamSam angreb begynde med remote desktop protocol (RDP) kompromis enten via brute force-angreb på netværk eller ved hjælp af stjålne legitimationsoplysninger, der er købt på underground fora.
De kriminelle aktører, som er omhyggeligt forberede angrebet, således at den gør maksimal skade mål, organisation, kun trække på aftrækkeren på infektion, når de, at de har udnyttet sårbarheder og stjålet legitimationsoplysninger til at gøre deres vej på tværs af så mange netværk som muligt. Det er blevet set at bruge lækket NSA udnytte EternalBlue til at hjælpe dens spredning på tværs af netværk.
Det var SamSam ransomware, der var ansvarlig for højt profilerede it-relaterede hændelser, såsom Byen Atlanta bliver tvunget offline – selv om det i dette tilfælde, byen ikke betale løsepenge.
Se også: Ransomware: executive-guide til en af de største trusler på nettet
SamSam er stadig at bevise, at en vellykket operation for dem bag kampagner, med forskere på Symantec bemærke, at gruppen stadig stærkt aktiv, med nye angreb mod snesevis af mål, hvoraf de fleste er i USA.
Ransomware har rettet næsten alle sektorer, men Symantec tal tyder på, at sundhedsydelser er hårdest ramt, med en fjerdedel af SamSam hændelser rettet mod hospitaler og relaterede organisationer.
Forskere bemærk også, at en målrettet organisation, som ikke er blevet identificeret i rapporten – er sat til at spille en rolle i at administrere valg – noget, der kunne opstå kraftige forstyrrelser, at den kommende midterms på November 6, hvis et angreb er en succes i låse-systemer og forårsager forstyrrelser.
SamSam ransomware note.
Billede: Sophos
Det er dog usandsynligt, at SamSam gruppe gik efter den lokale administration i et forsøg på at få direkte indflydelse valget – angriberne blot mål organisationer, som de ser som sårbare over for ransomware og er i stand til at udnytte ved at få adgang til de netværk af.
Hackere bruger ofte ‘, der lever af den jord’ taktik for at hjælpe dem til at bevæge sig på tværs af netværket, ved hjælp af operationelle funktioner i systemet og legitime administration værktøjer til at hjælpe kompromis ofre.
Det er også kendt for fjernangribere at falde to forskellige former for SamSam på et netværk, så i tilfælde af, at en, der forsvarede sig mod, er der mulighed for for den anden variant at blive en succes.
“De har evnen til at bryde ind i netværk og bruge flere værktøjer til at kortlægge netværk, stjæle adgangskoder og, i sidste ende, køre ransomware på et stort antal maskiner, Pik O’ Brien, Trussel Forsker ved Symantec fortalte ZDNet.
“Det faktum, at de udvikler flere versioner af ransomware viser, at de har evner og ressourcer til løbende udvikling. Ilægning af to forskellige versioner, når du udfører angreb for at have en sikkerhedskopi ved hånden, hvis en version, der er fundet, viser en grad af beredskabsplaner ikke ses ofte.”
Se også: Ransomware: Ikke død, bare at få en masse sneakier
Denne snigende tilgang til angreb, der kombineret med specielt valg af mål, der har aktiveret SamSam til at trives som en af de mest vellykkede, og skadelige former for ransomware trusler mod organisationer i hele 2018.
Mens de fleste af de mål, der er i OS, den malware har også rettet et lille antal af organisationer i Portugal, Frankrig, Australien, Irland, Israel.
Men på trods af truslen fra SamSam, det er ikke alle, kraftfuld og organisationer kan beskytte sig selv. Med angreb, der kommer via RDP organisationer bør begrænse adgangen til offentlige står over for havne, at operationer, som er helt afgørende.
Standard passwords og to-faktor autentificering bør også anvendes – især på følsomme systemer – for at stoppe SamSam spreder sig selv over det netværk, hvis det finder en måde.
Det anbefales også, at organisaitons oprette sikkerhedskopier, der er offline, og offsite, så hvis SamSam tager fat i de netværk, der er et middel til at genoprette det netværk, uden at give i løsesum efterspørgsel.
Læs mere om it-kriminalitet
WannaCry ransomware krise, et år på: Er vi klar til den næste globale cyber-angreb? Ransomware: Et cheat sheet til fagfolk [TechRepublic] , Hvor ransomware går ved siden af telefonen: Din telefon, dit TV, din servereKampagne 2018: Nye malware-angreb mål vælgere i centrale slagmark, CNET]Ny ransomware ankommer med en skjult funktion, der antyder mere sofistikerede angreb til at komme
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0