Milliókat keres a SamSam zsarolóvírus

A SamSam zsarolóvírus sokkal veszélyesebb, mint azt eddig sokan gondolták. Ráadásul lehet, hogy egyetlen személy irányítja a roppant komoly károkat előidéző támadásokat.
 

A SamSam kártékony program a zsarolóvírusok egyik legismertebb képviselője. Ezt a fajta hírnevet annak ellenére sikerült megszereznie, hogy a legtöbb esetben célzott támadásokban jut szerephez, vagyis nem terjed széles körben. Amikor azonban lecsap, akkor komoly károkat okoz. Ezt támasztja alá az is, hogy a károkozó pályafutása alatt bejutott egyebek mellett Atlanta informatikai rendszerébe, több kórház hálózatába, a Mississippi Valley Egyetem szervereire, illetve a coloradói közlekedési hivatal rendszerébe is. Ez esetekben fájlokat titkosított, majd váltságdíjat követelt a helyreállításért cserébe.
 
A SamSamnek jelenleg három verziója ismert. Az első 2017 januárjában jelent meg, és azóta folyamatosan fejlődik. Elsősorban a rejtőzködés és a károkozás lefolytatását végző összetevőiben változott. A legújabb variánsa például először a kisebb méretű fájlokat teszi használhatatlanná, majd rászáll a 100 MB-nál nagyobb állományokra. Végül az SQL Serverhez tartozó adatállományokat (.mdf) titkosítja. Ezzel eléri, hogy minél rövidebb idő alatt, minél több fájlt kompromittáljon. Így amire a fertőzésre fény derül, már túl késő, legalábbis, ha nincs biztonsági mentés.
 
Egy támadás forgatókönyve
 
A Sophos kutatói szerint könnyen elképzelhető, hogy a SamSam segítségével végrehajtott támadások mögött egyetlen személy áll, tehát nem feltétlenül kiberbűnözői csoport vagy állami "szerepvállalás" van a háttérben. Azt is lehet tudni, hogy egy incidens során a támadó leginkább brute force módszerekkel távoli asztali kapcsolatokat próbál feltörni. Ha ez sikerül, akkor beveti a Mimikatz nevű eszközt, és jogosultsági szint emelést hajt végre. Ha ezen is túljut, akkor feltérképezi a hálózatot, és új célpontokat keres. Eközben kialakítja a vezérlőszerverrel való kapcsolatot. A parancsokat a mindenki számára elérhető PsExec segítségével futtatja le. A fájlok titkosítását követően pedig megjeleníti a zsaroló üzenetét.
 
Mennyi az annyi?
 
A SamSam átlagosan 0,8 Bitcoint követel, míg egy teljes hálózatot 7 Bitcoinért (kb. 40.000 dollárért) tesz helyreállíthatóvá. A Sophos számításai szerint a zsaroló program eddig 5,9 millió dollárt hozhatott a csalók (vagy támadó) konyhájára, és jelenleg is havi szinten 300.000 dollár bevételt termel. Sajnos a támadó kilétéről egyelőre nagyon keveset tudni. Mindössze annyi sejthető, hogy nem angol anyanyelvű személyről van szó.
 
Védekezés

A Sophos szerint a SamSam terjesztője eddig megküldte az áldozatok számára a helyreállításhoz szükséges információkat a váltságdíj kifizetését követően. Ennek ellenére a biztonsági cég senkinek sem javasolja, hogy teljesítse a követeléseket. Ehelyett a megelőzésre, a korszerű vírusvédelem alkalmazására és a rendszeres biztonsági mentésekre kell helyezni a hangsúlyt.