透過原始分析、訪談和研究,
不同品種的惡意軟體
SamSam 與大多數其他勒索軟體有何差異,
大多數勒索軟體都是用於針對數千甚至數十萬人的大型、
SamSam 非常不同,
與其他類型的勒索軟體相比,這個惡意軟體非常少被使用,因此自 2015 年 12 月首次亮相以來,
雖然您不太可能成為 SamSam 勒索軟體攻擊的目標 (攻擊發生的頻率大約是每天一次),
最新深入資訊
該研究報告包含一系列新的技術見解,包括 SamSam 如何掃描受害者網路,以及建立欲加密機器列表的詳細資訊。
也許最值得注意的部份是它是如何散播的:
Sophos 的調查還揭露了攻擊的次數、發生頻率和目標對象。
根據迄今已知的受害者,一般都猜測 SamSam 攻擊的對象是針對醫療保健、政府和教育部門。不過 Sophos 發現事實並非如此。
Sophos 與加密貨幣監控組織 Neutrino 合作,追蹤金錢流向並發現了許多以前未知的贖金支付和受害者。
追蹤金流的結果還顯示,SamSam 已經獲得近 600 萬美元的贖金,大約是最近合理評估值的六倍。
在這份最新的研究中,Sophos 也提供了獲得更佳保護和災難復原的建議。由於已經更深入地了解 SamSam 鎖定受害者作業系統中的哪些檔案,Sophos 建議單單只是備份您的業務資料是不夠的;為了從 SamSam 攻擊中快速復原,組織需要的不只是復原資料計畫,
攻擊是如何展開的
SamSam 攻擊者透過使用 nlbrute 等軟體成功猜出強度不夠的密碼,然後利用 RDP (遠端桌面通訊協定) 存取受害者網路。
Sophos 已經確定攻擊會隨受害者時區而改變時間點。
與 WannaCry或 NotPetya 等其他著名勒索軟體不同,SamSam 沒有任何蠕蟲病毒或病毒能力,因此無法自行傳播。相反的,
透過這種方式,
取得網路的存取權限後,SamSam 操作者就會使用各種工具將權限升級到網域系統管理員等級。然後,
一旦它被廣泛傳播,就會在幾秒鐘內集中啟動勒索軟體的許多副本。
一旦攻擊啟動了,
隨著時間推移,贖金會增加到大約 50,000 美元,遠遠高於非目標性勒索軟體攻擊常見的數百元。
該怎麼辦?
為了避免成為受害者,對抗 SamSam 或任何其他形式的惡意軟體的最佳防禦就是採用多層式的深度防禦安
SamSam 似乎是根據漏洞選擇目標。
因此,時時修補和維護良好的密碼規則是防範 SamSam 攻擊的強大基礎。您可以透過以下簡單步驟顯著加強這一道防禦:
1. 限制經由 VPN 連線的員工使用 RDP。
2. 針對 VPN 存取和敏感內部系統使用多因素驗證。
3. 完成一般漏洞掃描和滲透測試。
4. 製作離機備份並保存在異地。
若對Sophos 防勒索、防火牆解決方案有興趣,可與我們聯絡。
留言
張貼留言