Milliókat keres a SamSam zsarolóvírus
A SamSam zsarolóvírus sokkal veszélyesebb, mint azt eddig sokan gondolták. Ráadásul lehet, hogy egyetlen személy irányítja a roppant komoly károkat előidéző támadásokat.A SamSam kártékony program a zsarolóvírusok egyik legismertebb képviselője. Ezt a fajta hírnevet annak ellenére sikerült megszereznie, hogy a legtöbb esetben célzott támadásokban jut szerephez, vagyis nem terjed széles körben. Amikor azonban lecsap, akkor komoly károkat okoz. Ezt támasztja alá az is, hogy a károkozó pályafutása alatt bejutott egyebek mellett Atlanta informatikai rendszerébe, több kórház hálózatába, a Mississippi Valley Egyetem szervereire, illetve a coloradói közlekedési hivatal rendszerébe is. Ez esetekben fájlokat titkosított, majd váltságdíjat követelt a helyreállításért cserébe.
A SamSamnek jelenleg három verziója ismert. Az első 2017 januárjában jelent meg, és azóta folyamatosan fejlődik. Elsősorban a rejtőzködés és a károkozás lefolytatását végző összetevőiben változott. A legújabb variánsa például először a kisebb méretű fájlokat teszi használhatatlanná, majd rászáll a 100 MB-nál nagyobb állományokra. Végül az SQL Serverhez tartozó adatállományokat (.mdf) titkosítja. Ezzel eléri, hogy minél rövidebb idő alatt, minél több fájlt kompromittáljon. Így amire a fertőzésre fény derül, már túl késő, legalábbis, ha nincs biztonsági mentés.
Egy támadás forgatókönyve
A Sophos kutatói szerint könnyen elképzelhető, hogy a SamSam segítségével végrehajtott támadások mögött egyetlen személy áll, tehát nem feltétlenül kiberbűnözői csoport vagy állami "szerepvállalás" van a háttérben. Azt is lehet tudni, hogy egy incidens során a támadó leginkább brute force módszerekkel távoli asztali kapcsolatokat próbál feltörni. Ha ez sikerül, akkor beveti a Mimikatz nevű eszközt, és jogosultsági szint emelést hajt végre. Ha ezen is túljut, akkor feltérképezi a hálózatot, és új célpontokat keres. Eközben kialakítja a vezérlőszerverrel való kapcsolatot. A parancsokat a mindenki számára elérhető PsExec segítségével futtatja le. A fájlok titkosítását követően pedig megjeleníti a zsaroló üzenetét.
Mennyi az annyi?
A SamSam átlagosan 0,8 Bitcoint követel, míg egy teljes hálózatot 7 Bitcoinért (kb. 40.000 dollárért) tesz helyreállíthatóvá. A Sophos számításai szerint a zsaroló program eddig 5,9 millió dollárt hozhatott a csalók (vagy támadó) konyhájára, és jelenleg is havi szinten 300.000 dollár bevételt termel. Sajnos a támadó kilétéről egyelőre nagyon keveset tudni. Mindössze annyi sejthető, hogy nem angol anyanyelvű személyről van szó.
Védekezés
A Sophos szerint a SamSam terjesztője eddig megküldte az áldozatok számára a helyreállításhoz szükséges információkat a váltságdíj kifizetését követően. Ennek ellenére a biztonsági cég senkinek sem javasolja, hogy teljesítse a követeléseket. Ehelyett a megelőzésre, a korszerű vírusvédelem alkalmazására és a rendszeres biztonsági mentésekre kell helyezni a hangsúlyt.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
-
A PuTTY-hoz egy biztonsági frissítés vált elérhetővé.
-
A XenServer és a Citrix Hypervisor is biztonsági frissítéseket kapott.
-
A GitLab újabb biztonsági javításokat adott ki.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.