Milliókat keres a SamSam zsarolóvírus

A SamSam zsarolóvírus sokkal veszélyesebb, mint azt eddig sokan gondolták. Ráadásul lehet, hogy egyetlen személy irányítja a roppant komoly károkat előidéző támadásokat.
 

A SamSam kártékony program a zsarolóvírusok egyik legismertebb képviselője. Ezt a fajta hírnevet annak ellenére sikerült megszereznie, hogy a legtöbb esetben célzott támadásokban jut szerephez, vagyis nem terjed széles körben. Amikor azonban lecsap, akkor komoly károkat okoz. Ezt támasztja alá az is, hogy a károkozó pályafutása alatt bejutott egyebek mellett Atlanta informatikai rendszerébe, több kórház hálózatába, a Mississippi Valley Egyetem szervereire, illetve a coloradói közlekedési hivatal rendszerébe is. Ez esetekben fájlokat titkosított, majd váltságdíjat követelt a helyreállításért cserébe.
 
A SamSamnek jelenleg három verziója ismert. Az első 2017 januárjában jelent meg, és azóta folyamatosan fejlődik. Elsősorban a rejtőzködés és a károkozás lefolytatását végző összetevőiben változott. A legújabb variánsa például először a kisebb méretű fájlokat teszi használhatatlanná, majd rászáll a 100 MB-nál nagyobb állományokra. Végül az SQL Serverhez tartozó adatállományokat (.mdf) titkosítja. Ezzel eléri, hogy minél rövidebb idő alatt, minél több fájlt kompromittáljon. Így amire a fertőzésre fény derül, már túl késő, legalábbis, ha nincs biztonsági mentés.
 
Egy támadás forgatókönyve
 
A Sophos kutatói szerint könnyen elképzelhető, hogy a SamSam segítségével végrehajtott támadások mögött egyetlen személy áll, tehát nem feltétlenül kiberbűnözői csoport vagy állami "szerepvállalás" van a háttérben. Azt is lehet tudni, hogy egy incidens során a támadó leginkább brute force módszerekkel távoli asztali kapcsolatokat próbál feltörni. Ha ez sikerül, akkor beveti a Mimikatz nevű eszközt, és jogosultsági szint emelést hajt végre. Ha ezen is túljut, akkor feltérképezi a hálózatot, és új célpontokat keres. Eközben kialakítja a vezérlőszerverrel való kapcsolatot. A parancsokat a mindenki számára elérhető PsExec segítségével futtatja le. A fájlok titkosítását követően pedig megjeleníti a zsaroló üzenetét.
 
Mennyi az annyi?
 
A SamSam átlagosan 0,8 Bitcoint követel, míg egy teljes hálózatot 7 Bitcoinért (kb. 40.000 dollárért) tesz helyreállíthatóvá. A Sophos számításai szerint a zsaroló program eddig 5,9 millió dollárt hozhatott a csalók (vagy támadó) konyhájára, és jelenleg is havi szinten 300.000 dollár bevételt termel. Sajnos a támadó kilétéről egyelőre nagyon keveset tudni. Mindössze annyi sejthető, hogy nem angol anyanyelvű személyről van szó.
 
Védekezés

A Sophos szerint a SamSam terjesztője eddig megküldte az áldozatok számára a helyreállításhoz szükséges információkat a váltságdíj kifizetését követően. Ennek ellenére a biztonsági cég senkinek sem javasolja, hogy teljesítse a követeléseket. Ehelyett a megelőzésre, a korszerű vírusvédelem alkalmazására és a rendszeres biztonsági mentésekre kell helyezni a hangsúlyt.
Vélemények
 
  1. 4

    Az IBM egy biztonsgági hibát javított a Security Identity Manager kapcsán.

  2. 4

    Egy súlyos sérülékenységre derült fény a WordPress-hez kapcsolódó Jetpack plugin esetében.

  3. 2

    A Buran zsaroló program nem használ igazán új technikákat, mégis komoly károkat képes okozni a számítógépeken.

 
Partnerhírek
A biztonság miatt halhatnak meg a kórházi betegek

Egy amerikai egyetem kutatása szerint a különböző IT-biztonsági incidensekre válaszként bevezetett óvintézkedések lassabb ellátást eredményeznek, ez pedig több halálesethez vezet.

Miért vonzó célpontok a gamerek a kiberbűnözők számára?

A játékosok számának növekedése, a pénzszerzésre irányuló támadások széles tárháza és az iparágban forgó nagy pénzösszegek csak néhány a számos ok közül, amiért a gamerek vonzó célpontjai az online hackereknek.

hirdetés
Közösség
1