Milliókat keres a SamSam zsarolóvírus

A SamSam zsarolóvírus sokkal veszélyesebb, mint azt eddig sokan gondolták. Ráadásul lehet, hogy egyetlen személy irányítja a roppant komoly károkat előidéző támadásokat.
 

A SamSam kártékony program a zsarolóvírusok egyik legismertebb képviselője. Ezt a fajta hírnevet annak ellenére sikerült megszereznie, hogy a legtöbb esetben célzott támadásokban jut szerephez, vagyis nem terjed széles körben. Amikor azonban lecsap, akkor komoly károkat okoz. Ezt támasztja alá az is, hogy a károkozó pályafutása alatt bejutott egyebek mellett Atlanta informatikai rendszerébe, több kórház hálózatába, a Mississippi Valley Egyetem szervereire, illetve a coloradói közlekedési hivatal rendszerébe is. Ez esetekben fájlokat titkosított, majd váltságdíjat követelt a helyreállításért cserébe.
 
A SamSamnek jelenleg három verziója ismert. Az első 2017 januárjában jelent meg, és azóta folyamatosan fejlődik. Elsősorban a rejtőzködés és a károkozás lefolytatását végző összetevőiben változott. A legújabb variánsa például először a kisebb méretű fájlokat teszi használhatatlanná, majd rászáll a 100 MB-nál nagyobb állományokra. Végül az SQL Serverhez tartozó adatállományokat (.mdf) titkosítja. Ezzel eléri, hogy minél rövidebb idő alatt, minél több fájlt kompromittáljon. Így amire a fertőzésre fény derül, már túl késő, legalábbis, ha nincs biztonsági mentés.
 
Egy támadás forgatókönyve
 
A Sophos kutatói szerint könnyen elképzelhető, hogy a SamSam segítségével végrehajtott támadások mögött egyetlen személy áll, tehát nem feltétlenül kiberbűnözői csoport vagy állami "szerepvállalás" van a háttérben. Azt is lehet tudni, hogy egy incidens során a támadó leginkább brute force módszerekkel távoli asztali kapcsolatokat próbál feltörni. Ha ez sikerül, akkor beveti a Mimikatz nevű eszközt, és jogosultsági szint emelést hajt végre. Ha ezen is túljut, akkor feltérképezi a hálózatot, és új célpontokat keres. Eközben kialakítja a vezérlőszerverrel való kapcsolatot. A parancsokat a mindenki számára elérhető PsExec segítségével futtatja le. A fájlok titkosítását követően pedig megjeleníti a zsaroló üzenetét.
 
Mennyi az annyi?
 
A SamSam átlagosan 0,8 Bitcoint követel, míg egy teljes hálózatot 7 Bitcoinért (kb. 40.000 dollárért) tesz helyreállíthatóvá. A Sophos számításai szerint a zsaroló program eddig 5,9 millió dollárt hozhatott a csalók (vagy támadó) konyhájára, és jelenleg is havi szinten 300.000 dollár bevételt termel. Sajnos a támadó kilétéről egyelőre nagyon keveset tudni. Mindössze annyi sejthető, hogy nem angol anyanyelvű személyről van szó.
 
Védekezés

A Sophos szerint a SamSam terjesztője eddig megküldte az áldozatok számára a helyreállításhoz szükséges információkat a váltságdíj kifizetését követően. Ennek ellenére a biztonsági cég senkinek sem javasolja, hogy teljesítse a követeléseket. Ehelyett a megelőzésre, a korszerű vírusvédelem alkalmazására és a rendszeres biztonsági mentésekre kell helyezni a hangsúlyt.
Vélemények
 
  1. 3

    A Drupal egyik modulja kapcsán egy biztonsági hibára derült fény.

  2. 3

    Az Apache Struts egy biztonsági hiba miatt kapott frissítést.

  3. 3

    A LockBit.YJ zsarolóvírus legújabb variánsa sem kíméli a fájlokat.

Partnerhírek
Minden, amit tudniuk kell, mielőtt használni kezdjük a ChatGPT-t.

Mielőtt megpróbáljuk kihasználni az innovatív AI eszközök előnyeit, meg kell tanulnunk biztonságosan, adataink veszélyeztetése nélkül igénybe venni azokat.

Elég okosak vagyunk egy okosotthonhoz?

Íme az ESET szakértőinek tanácsai arról, hogy hogyan használjuk otthonunkban az okoseszközöket.

hirdetés
Közösség