Eksperci z Cisco Talos zaobserwowali znaczne zwiększenie aktywności wykrytego w 2016 roku ransomware’u SamSam, który zaatakował ostatnio dwa szpitale i urząd miejski w Stanach Zjednoczonych oraz nieznaną firmę korzystającą z przemysłowego systemu sterowania (ICS). Za odszyfrowanie plików na pojedynczym komputerze przestępcy żądali 0,7 bitcoina. Według badaczy w ciągu miesiąca udało się im pozyskać 30,4 bitcoinów, co stanowi równowartość 325 tys. dolarów. W poprzednich atakach SamSam trafiał do ofiar za pośrednictwem spamu, twórcy ransomware’u zmienili jednak taktykę i rozpowszechnili nową wersję, używając niewystarczająco zabezpieczonych serwerów RDP i VNC. Po zdobyciu lub kupieniu dostępu do sieci ofiary przestępcy byli w stanie zdobyć kontrolę nad całą infrastrukturą firmy i zainstalować złośliwe oprogramowanie na jej najważniejszych serwerach. Wykorzystali przy tym prosty moduł ładujący o nazwie runner, napisany w środowisku .NET. Po załadowaniu złośliwego oprogramowania rozpoczynał się proces szyfrowania plików o określonych z góry rozszerzeniach. Analizując kod źródłowy, badacze nie znaleźli żadnego mechanizmu pozwalającego na automatyczne łączenie się z usługami w sieci Tor, co oznacza, że identyfikacja ofiary z powiązanym kluczem prywatnym RSA musiała odbywać się ręcznie lub za pomocą innego narzędzia atakujących.
Ryzyko duże: Zaobserwowane ataki przyniosły przestępcom spory zysk, można więc spodziewać się dalszych kampanii z wykorzystaniem tego ransomware’u, także ukierunkowanych na inne branże.
Działania długoterminowe: Tworzenie kopii zapasowych krytycznych danych. Szkolenie personelu.
Źródło: http://blog.talosintelligence.com/2018/01/samsam-evolution-continues-netting-over.html
