Nul
SamSam ransomware is nog steeds teistert organisaties in de VS, met verse aanvallen tegen 67 nieuwe doelstellingen – waaronder ten minste één betrokken bij het beheer van de komende tussentijdse verkiezingen.
De malware is ontworpen op een zodanige manier dat het in extra voor het versleutelen van bestanden en gegevens over het doel van netwerken, het gaat ook na back-ups als een middel om ervoor te zorgen dat slachtoffers er zijn echt geen andere optie dan aan te geven en het losgeld betalen.
Deze tactiek werkt, als de groep achter SamSam zijn gedacht te hebben gemaakt meer dan $6m van losgeld betalingen, vaak veeleisende meer dan $50.000 in bitcoin voor het herstellen van systemen.
In tegenstelling tot andere ransomware aanvallen die zijn vaak net gespamd potentiële slachtoffers via phishing e-mails, SamSam aanvallen beginnen met remote desktop protocol (RDP) compromis, via een brute force-aanvallen op netwerken of door gebruik van de gestolen referenties gekocht op underground fora.
De criminele exploitanten nauwgezet voor te bereiden op de aanval zo dat het maximale schade aan de target organisatie, alleen de trekker op de infectie zodra zij ze hebben uitgebuit kwetsbaarheden en gestolen referenties te maken hun weg door zo veel mogelijk van het netwerk mogelijk. Het is gezien het gebruik van de gelekte NSA exploiteren EternalBlue om haar te helpen verspreiden via netwerken.
Het was SamSam ransomware die verantwoordelijk was voor het high profile cyber incidenten, zoals de Stad van Atlanta gedwongen offline – hoewel in dat geval de stad niet betalen van het losgeld.
Zie ook: Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
SamSam is nog steeds blijkt een succesvolle operatie voor de mensen achter de campagnes, met onderzoekers van Symantec merkt op dat de groep nog steeds blijft zwaar actief met verse aanvallen tegen tientallen slachtoffers, waarvan de meeste in de VS.
De ransomware is gericht bijna alle sectoren, maar Symantec cijfers suggereren dat de gezondheidszorg is de meest zwaar getroffen, met een kwart van SamSam incidenten targeting ziekenhuizen en aanverwante organisaties.
De onderzoekers ook rekening mee dat een gerichte organisatie die niet is aangeduid in het verslag wordt een rol te spelen in het beheren van de verkiezingen – iets wat zou kunnen leiden tot zware verstoring aan de komende tussentijdse verkiezingen op 6 November, als een aanval succesvol is in het blokkeren van systemen en het veroorzaken van verstoring.
SamSam ransomware opmerking.
Afbeelding: Sophos
Echter, het is onwaarschijnlijk dat de SamSam groep ging na lokaal bestuur in een poging om direct van invloed zijn op de verkiezingen – de aanvallers enkel doel organisaties die zij zien als gevoelig voor de ransomware en in staat zijn te misbruiken door het verkrijgen van toegang tot de netwerken van.
De aanvallers vaak gebruik van ‘leven van het land’ tactiek om hen te helpen zich verder over het netwerk met behulp van de operationele kenmerken van het systeem en legitieme administration tools om te helpen compromis slachtoffers.
Het is ook bekend voor de aanvallers om twee verschillende vormen van SamSam op netwerken, zodat in geval van een zich verdedigd tegen, er is de mogelijkheid voor de tweede variant om succesvol te zijn.
“Zij hebben het vermogen om in te breken in netwerken en het gebruik van meerdere tools om de kaart van het netwerk, het stelen van wachtwoorden en, uiteindelijk, uitvoeren ransomware op een groot aantal machines, Dick O’ Brien, Bedreiging, Onderzoeker bij Symantec vertelde ZDNet.
“Het feit dat ze het ontwikkelen van meerdere versies van ransomware toont aan dat ze hebben de vaardigheden en de middelen voor de continue ontwikkeling. Het laden van twee verschillende versies bij het uitvoeren van aanvallen om een back-up bij de hand als één versie wordt gevonden, toont een mate van contingency planning niet vaak gezien.”
Zie ook: Ransomware: hij is Niet dood, alleen voor een veel sneakier
Dit stealthy aanpak voor aanvallen, gecombineerd met de speciaal selecteren van doelen heeft ingeschakeld SamSam te bloeien als een van de meest succesvolle – en schade – vormen van ransomware bedreigingen voor organisaties in 2018.
Terwijl de meerderheid van de slachtoffers zijn in de VS, de malware is ook gericht op een klein aantal organisaties in Portugal, Frankrijk, Australië, Ierland en Israël.
Maar ondanks de dreiging van SamSam, het is niet almachtig en organisaties zichzelf kunnen beschermen. Met aanvallen via RDP-organisaties moeten het beperken van de toegang tot openbare havens aan activiteiten voor, wat absoluut essentieel is.
Standaard wachtwoorden en twee-factor authenticatie dient ook te worden toegepast, vooral op gevoelige systemen – om te stoppen met SamSam verspreiden zich over het netwerk als het wel een manier vinden.
Het is ook aangeraden dat organisaitons het maken van back-ups die off line en off site, dus als de SamSam wel rekening met houden van het netwerk, is er een middel van het herstellen van het netwerk zonder op te geven in het rantsoen op de vraag.
Lees meer over cyber crime
WannaCry ransomware crisis, een jaar op: Zijn we klaar voor de volgende wereldwijde cyber-aanval? Ransomware: Een cheat sheet voor professionals [TechRepublic] Waar ransomware gaat volgende: Uw telefoon, uw TV, uw serversCampagne 2018: Nieuwe malware-aanvallen doel van de kiezers in de belangrijkste slagveld staten [CNET]Nieuwe ransomware komt met een verborgen functie die verwijst naar meer verfijnde aanvallen te komen
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0