Noll
SamSam ransomware är fortfarande plågar organisationer över OSS, med färska angrepp mot 67 nya mål – däribland minst en arbetar med att administrera den kommande kongressvalet.
Malware är utformad på ett sådant sätt att det i ytterligare en för att kryptera filer och data över målet nätverk, det går också efter säkerhetskopior som ett medel för att säkerställa att de som utsatts är verkligen inget annat alternativ än att ge upp och betala lösen.
Dessa taktik är att arbeta som gruppen bakom SamSam är tänkt att ha gjort över $6 m från lösen betalningar, som ofta är krävande över $50.000 i bitcoin för att återställa system.
Till skillnad från andra ransomware attacker som ofta bara spammade ut till potentiella offer via phishing e-post, SamSam attacker börjar med remote desktop protocol (RDP) kompromiss antingen via en brute force-attacker på nätverk eller med hjälp av stulna inloggningsuppgifter köpt på tunnelbanan forum.
De kriminella aktörerna minutiöst förbereda attacken så att det gör maximal skada till målet organisation, bara dra igång på infektion när de har de utnyttjade sårbarheter och stulna inloggningsuppgifter för att göra sin väg över så mycket av det nätverk som möjligt. Det har sett till att använda den läckte NSA utnyttja EternalBlue att bidra till dess spridning över nätverk.
Det var SamSam ransomware som var ansvarig för hög profil it-incidenter som Staden Atlanta tvingas offline – även om i detta fall, staden inte betala lösen.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
SamSam är fortfarande bevisa att en lyckad operation för dem som står bakom den kampanjer, med forskare på Symantec att notera att gruppen fortfarande är starkt aktiv, med färska angrepp mot massor av mål – av vilka de flesta finns i USA.
Den ransomware har riktat sig till nästan alla sektorer, men Symantec siffror tyder på att hälso-och sjukvård är hårdast, med en fjärdedel av SamSam incidenter inriktning på sjukhus och närstående organisationer.
Forskarna noterar också att en målinriktad organisation – som inte har identifierats i rapporten – är inställd på att spela en roll i att administrera val – något som kan leda till svåra störningar för de kommande midterms den 6 November om en attack lyckas låsa ut system och orsakar störningar.
SamSam ransomware not.
Bild: Sophos
Det är dock osannolikt att SamSam gruppen gick efter lokal administration i ett försök att direkt påverka valet – angriparna enbart rikta organisationer som de ser som utsatta för ransomware och har möjlighet att utnyttja av att få tillgång till näten.
Angriparna använder ofta “leva på landet” taktik för att hjälpa dem att flytta över nätverket, med hjälp av operativa system funktioner och legitim förvaltning verktyg för att hjälpa kompromiss offer.
Det är också känt för angriparna att släppa två olika former av SamSam på nätverk, så att i händelse av en försvaras mot, det finns möjlighet för den andra varianten för att vara framgångsrik.
“De har förmågan att bryta sig in i nätverk och använder flera verktyg för att kartlägga nätverk, stjäla lösenord och, i slutändan, kör ransomware på ett stort antal maskiner, Dick O’ Brien, Hot Forskare på Symantec berättade ZDNet.
“Det faktum att de utvecklar flera versioner av ransomware visar att de har den skicklighet och resurser för fortsatt utveckling. Laddar upp två olika versioner när du utför attacker i syfte att ha en backup för att hand om en version upptäcks visar en grad av beredskapsplanering som man inte ofta ser.”
Se även: Ransomware: Inte döda, bara få en massa sneakier
Detta smygande strategi för attacker, tillsammans med särskilt att välja mål har aktiverat SamSam att blomstra som en av de mest framgångsrika och skadliga former av ransomware hot till organisationer i hela 2018.
Medan de flesta målen är i USA, malware har också riktat ett litet antal organisationer i Portugal, Frankrike, Australien, Irland, Israel.
Men trots hotet från SamSam, det är inte alla kraftfulla och organisationer kan skydda sig. Med attacker via RDP organisationer bör begränsa tillgången till offentliga inför portarna till den verksamhet som är absolut nödvändigt.
Default lösenord och två faktors autentisering bör också tillämpas – särskilt på känsliga system – för att stoppa SamSam sprida sig över nätet om det går att hitta en väg in.
Det är också rekommenderat att organisaitons skapa säkerhetskopior som är offline och någon annanstans, så om SamSam tar tag i nätverket, det är ett sätt att återställa nätverket utan att ge till lösen efterfrågan.
Läs mer om it-relaterad brottslighet
WannaCry ransomware krisen, ett år: Är vi redo för nästa globala it-attack? Ransomware: En lathund för yrkesverksamma [TechRepublic] Där ransomware går bredvid Din telefon, din TV, din servrarKampanj 2018: Nya malware attacker riktas mot väljarna i viktiga slagfält stater [MAG]Nya ransomware kommer med en dold funktion som tips på mer sofistikerade attacker för att komma
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0