A SamSam egy alapos titkosító eszköz, ami a munkához kapcsolódó fájlokat, valamint azokat a Windows programokat teszi használhatatlanná, amelyekről nem készül rutinszerű biztonsági mentés.
A zsarolóvírus 2015 óta összesen 6 millió dollár értékben csalt ki váltságdíjat – a Sophos szerint Magyarországon egyelőre nincsen áldozata.
A támadási módszer manuális jellegű. Ha az adattitkosító folyamatot megszakítják, akkor a vírus átfogó módon törli saját nyomait, hogy hátráltassa a keresési folyamatot.
A helyreállításhoz szükséges lehet a mentett lemezképek használata és/vagy a szoftverek újratelepítése, illetve a biztonsági másolatok visszaállítása.
A főbb megállapítások
- A SamSam zsarolóvírus először 2015 decemberében jelent meg.
- Napjainkig kb. 6 millió dollár hasznot hozott számukra.
- A Sophos becslései szerint a SamSam támadók 2018-ban kicsivel 300 ezer dollár alatt kerestek havonta.
- Az eddigi legnagyobb elutalt váltságdíj értéke 64 478 dollár volt (a kifizetés idején).
- A váltságdíj összege jelentős mértékben eltér az egyes szervezeteknél, azonban folyamatosan növekedett azóta, hogy a zsarolóvírus aktív használatban van.
- Miután a SamSam támadók megkapták a teljes összeget, a kriptovalutát egy tumbler/mixer rendszerbe mozgatják, amely számtalan Bitcoin mikrotranzakció segítségével mossa azt tisztára.
- A Sophos kutatásai szerint az ismert áldozatok 74 százaléka az Egyesült Államokban található meg. A további helyszínek között volt Kanada, az Egyesült Királyság és a Közel-Kelet is. Magyarországon egyelőre nem azonosítottak áldozatokat.
- A legtöbb zsarolóvírussal ellentétben a SamSam nem csak dokumentumfájlokat, képeket és más, személyes, illetve munkához kapcsolódó adatokat, hanem némely alkalmazások (pl. Microsoft Office) futtatásához szükséges konfigurációs és adatfájlokat is titkosít. Ha az áldozat biztonsági mentéseknél alkalmazott stratégiája csak a felhasználó dokumentumait és fájljait védi, a mentett lemezképek használata vagy újratelepítés nélkül nem lehet helyreállítani az eszközt.
- Az újabb támadások mindig kifinomultabbak az előzőnél, a támadó pedig egyre jobb hatásfokkal tudja megkerülni az alkalmazott biztonsági eszközöket.
- Az áldozatoktól követelt váltságdíj drámai módon növekedett, a támadások tempója pedig nem mutat lassulást.
- Az áldozatok között számos közepes és nagyobb állami szektorba tartozó egészségügyi, oktatási és kormányzati szervezet jelentett SamSam-támadást.
- Az ismert áldozatok közül a kormányzati intézmények 100 százaléka, az egészégügyi szervezetek 79 százaléka és az oktatási szervezetek 38 százaléka hozta nyilvánosságra a támadás tényét.
- A támadó fenntartja a kapcsolatot a feltört számítógéppel, miközben szkenneli a belső hálózatot.
- Sok zsarolóvírus fertőzéssel ellentétben ezek a támadások nem konvencionális ártó szándékú spamből vagy letöltésre szánt ártó fájlokból indulnak. Minden támadásnál manuálisan törik fel a kiszemelt hálózatot.
- Miután a vírus szkennelte a belső hálózatot és összeállította a potenciális áldozatok listáját, a SamSam támadói megvárják, amíg a célpont időzónájában késő éjszaka lesz és akkor indítják a támadást: kiadják a parancsot a vírus terjesztésére és a fertőzött gépeken lévő fájlok titkosítására. Az időzítéssel a legjobb pillanatokat használják ki, amikor a legtöbb felhasználó és rendszergazda alszik, jelentősen növelve a támadás sikerének lehetőségét.
- Az utóbbi váltságdíj kapcsán írt üzenetek bocsánatkérő, már-már bűnbánó stílusban íródtak. Az üzenetet tartalmazó fájl neve SORRY-FOR-FILES.html (“bocsánat a fájlokért”), a titkosított állományok weapologize kiterjesztést kapnak. (“we apologize” - “bocsánatot kérünk”)
- A SamSam komponensek fordítási ideje arra utal, hogy a minták legnagyobb része a támadó időzónájában 20 és 23 óra között történt meg.
- A támadó a hét minden napján fordít új komponenseket, a legkevesebbet hétfőn, a legtöbbet kedden készíti.
- Biztonsági téren nincsenek minden ellen védő csodaszerek; egy aktív, több rétegből álló biztonsági modell a legjobb megoldás:
- A 3389 (RDP) port hozzáférésének korlátozása, hogy csak a VPN-t használó dolgozók férhessenek hozzá távolról a rendszerekhez. Alkalmazzon többlépcsős hitelesítést a VPN hozzáféréseknél!
- Teljes, rendszeres sebezhetőségekre vonatkozó ellenőrzések és penetration testing hálózatszerte; ha nem ellenőrizte a friss penetration testing jelentéseket, tegye meg most!
- Többlépcsős hitelesítés használata az érzékeny belső rendszereknél, még a LAN-on és VPN-en dolgozó alkalmazottak számára is!
- Készítsen offline és offsite backupokat, illetve olyan katasztrófatervet, amely a biztonsági mentések és teljes rendszerek visszaállítását is tartalmazza!
- Olyan biztonsági rendszer, amely szinkronizálja és megosztja a megszerzett információkat, hogy aktiválni tudja a lezáró mechanizmusokat.
- Olyan endpoint és szerver biztonság, amely lopott belépési adatok elleni védelemmel is rendelkezik.
- Nehezen feltörhető és egyedi IT admin jelszavak többlépcsős autentikációval.
- Javítsa a jelszavak biztonsági rendjét: bátorítsa a felhasználókat, hogy használjanak biztonsági jelszótárolókat, hosszabb jelszavakat és ne használjanak azonos jelszavakat több fiókhoz.