Cyberzagrożenia

Ransomware SamSam po raz kolejny zbiera żniwo i… przeprasza

Czas czytania: 3 min

Można powiedzieć, ze grupa ransomware-ów SamSam weszła w 2018 rok z przytupem. Trafiła bowiem kilka dość ważnych celów, takich jak szpitale, rada miejska czy firma ICS.

Zgłoszone ataki obejmują szpital Hancock Health Hospital w Greenfield w stanie Indiana, Adams Memorial Hospital w Decatur, gminę Farmington i kilka innych. Jak poinformował Bleeping Computer, szpital w Indianie zapłacił za odszyfrowanie plików po ataku 4 BTC, czyli 55000 dolarów. Straty finansowe to jedno, niestety na ataku ucierpieli również pacjenci, których operacje musiały zostać przełożone.

Steve Long – dyrektor szpitala – powiedział, że ransomware zaszyfrowało ponad 1400 plików, tymczasowo zmieniając również nazwiska każdego z pacjentów na „I’m sorry”. Hakerzy dali szpitalowi siedem dni na zapłatę okupu, w przeciwnym razie wszystkie pliki pozostałyby zaszyfrowane. Dyrektor przyznał również, że szpital posiadał kopię zapasową, ale jej odtworzenie było mniej opłacalne z biznesowego punktu widzenia.

SamSam ransomware – krótka charakterystyka

SamSam znany jest również jako Samas, przy każdej infekcji wygląda inaczej. To niestandardowy szczep, który można zaliczyć do oszustw ukierunkowanych.

Załoga SamSam zwykle skanuje Internet w poszukiwaniu komputerów z otwartymi lub słabo zabezpieczonymi portami RDP, które brutalnie wymuszają roznoszenie się na wiele komputerów.

Treść i wygląd wiadomości zazwyczaj różnią się od siebie, w zależności od ofiary. Mimo to, na podstawie zrzutu ekranu udostępnionego przez radę miasta Farmington, można powiedzieć, że ta szczególna wersja SamSam, która wykorzystuje notatkę „0000-SORRY-FOR-FILES.html”, zainfekowała co najmniej osiem podmiotów od 26 grudnia. Większość ofiar pochodzi z USA, kilka z Kanady i Indii. Niektóre z nich zgłosiły pliki zaszyfrowane z rozszerzeniem .weapologize.

SamSam ransomware

Do podobnego ataku doszło w kwietniu ubiegłego roku. W 2017 roku ofiarą padł szpital w Nowym Jorku. Wtedy kwota okupu żądana przez przestępców wynosiła 44000 dolarów. W tamtym czasie szpital zdecydował się na odmowę zapłacenia okupu, a odbudowa informatycznej infrastruktury potrwała miesiąc.

Ransomware SamSam – jak zazwyczaj dochodzi do infekcji? 

Na początek rozsyłane są kampanie spamu z zainfekowanymi załącznikami lub narzędziami z rodziny Exploit Kit. Maile posiadają gotowe exploity na niezałatane rozszerzenia lub same przeglądarki. W tym przypadku luka okazała się słabo zabezpieczona. Właśnie dlatego malware zainfekował maszynę i rozprzestrzenił się na inne tuż po zalogowaniu użytkownika. Cyberprzestępcy za odszyfrowanie plików żądają od 0,7 aż do kilkudziecięciu BTC.

„Zapobiegać a nie leczyć” – ochrona przed ransomware 

Ochrona przed SamSam tak jak przed innym szkodliwym oprogramowaniem, sprowadza się do kilku dobrych praktyk, które zdecydowanie warto stosować:

  • nie czekaj z aktualizacją systemu i oprogramowań – ich terminowe wdrażanie pozwoli Ci uniknąć możliwych luk i wrażliwych punktów
  • backup, backup i jeszcze raz backup – regularnie twórz kopię zapasową kluczowych danych i przechowuj ją w bezpiecznym miejscu, przede wszystkim odseparowanym od reszty firmowej sieci
  • white list – tworzenie białej listy bierz na poważnie, rozwiązanie, które bazuje m.in. na white list, traktuje wszystkie inne aplikacje jako niezaufane i potencjalnie szkodliwe
  • segmentacja sieci i użytkowników – przydzielaj uprawnienia, twórz strefy bezpieczeństwa i stosuj autoryzację użytkowników
  • edukacja i uświadamianie – uświadamiaj użytkowników sieci o możliwych scenariuszach zdarzeń i ich konsekwencjach, mów o aktualnych cyberzagrożeniach i stosowaniu socjotechniki

Jeżeli masz wątpliwości, czy Twoja sieć firmowa i punkty końcowe są odpowiednio zabezpieczone – porozmawiaj z nami. Pomagamy w doborze rozwiązań, testujemy je i prezentujemy funkcjonalność na naszych webinariach. Robimy to po to, abyś mógł czuć się w pełni bezpiecznie. 





Dodaj komentarz