باج‌افزار SamSam تا کنون شش میلیون دلار از قربانیان خود باج دریافت کرده است. قربانیان این باج‌افزار سازمان‌های دولتی متوسط و بزرگ و همچنین سازمان‌های بخش خصوصی هستند و عوامل پشت آن هنوز شناسایی نشده‌اند.

باج‌افزار SamSam تا کنون شش میلیون دلار برای سازندگان خود درآمد داشته است و همچنان در حال ایجاد مشکل برای سازمانها، چه در بخش عمومی و چه در بخش خصوصی، است. پیتر مک‌کنزی، مدیر بخش بدافزارها در شرکت سوفوس، در همایش بلک‌هت ۲۰۱۸ عنوان داشت که ۷۴ درصد از قربانیانِ شناخته‌شده این باج‌افزار در آمریکا هستند و بیشترین مبلغ باجی که پرداخت شده، ۶۴ هزار دلار بوده است. به گفته وی، گرچه حدود نیمی از حملات بزرگِ این باج‌افزار علیه سازمان‌های متوسط و بزرگ در بخش عمومی بوده است (شامل سازمان‌های فعال در حوزه سلامت، آموزش و سازمانی‌های دولتی)، اما نیم دیگر این حملات نیز سازمان‌های بخش خصوصی را هدف گرفته است. با این وجود، سازمان‌های خصوصی به شکل عجیبی درباره مشکلات ناشی از این باج‌افزار سکوت کرده‌اند. پژوهش سوفوس نشان می‌دهد ۱۰۰ درصد سازمان‌های دولتی، ۷۰ درصد بیمارستان‌ها و بیش از ۸۰ درصد مراکز آموزشی، به صورت عمومی اعلام کرده‌اند که مورد حمله قرار گرفته‌اند. اما تعداد گزارش‌ها در بخش خصوصی صفر درصد بوده است و این اصلاً منطقی نیست؛ به ویژه با درنظرگرفتن مقررات عمومی حفاظت از داده‌ها (GDPR).
به گفته مک‌کنزی، SamSam ثابت کرده است که چالش پیچیده‌ای برای تیم‌های امنیتی به حساب می‌آید. این باج‌افزار از این نظر که کل فرایند حمله آن به صورت دستی انجام می‌شود، همانند دیگر باج‌افزارهای رایج است. گرچه اشتباهات دستوری در پیام‌های این باج‌افزار نشان می‌دهد که انگلیسی زبان مادری مهاجمان نیست، اما در متن ایمیل اسپمی که حاوی پیوست است، عبارت‌ها چندان بد نیستند. سوفوس در گزارش خود می‌نویسد: «این حملات از روشی قدیمی استفاده می‌کنند و با استفاده از ابزارهایی خاص و تا جایی که پروتکل ریموت دسکتاپ اجازه دهد، گذرواژه‌های مختلف را برای ورود به سیستم امتحان می‌کنند. مهاجمان به محض ورود، کد مخرب خود را در شبکه پخش می‌کنند. این کد، به صورت غیرفعال در شبکه منتظر می‌ماند تا دستورالعمل‌هایی را دریافت و رمزگذاری را شروع کند».
SamSam فایل‌های اسناد، تصاویر و سایر اطلاعات شخصی یا کاری و همچنین فایل‌های پیکربندی و داده‌های موردنیاز برای اجرای برنامه‌هایی نظیر مایکروسافت آفیس را رمزگذاری می‌کند. به این دلیل، قربانیانی که راهبرد پشتیبان‌گیری آن‌ها تنها از اسناد و فایل‌های کاربری حفاظت می‌کند نمی‌توانند بدون reimaging دستگاه، آن را بازیابی کنند. همانند بسیاری از تهدیدات، شناسایی سازنده این باج‌افزار کار دشواری است؛ اما یافته‌ها نشان می‌دهند این باج‌افزار احتمالاً کار یک گروه کوچک است. حملات SamSam معمولاً پس از ساعت کاری معمول رخ می‌دهند؛ یعنی زمانی که تعداد راهبران سیستم کمتر است و رفتار غیرطبیعی می‌تواند از نظرشان دور بماند.
سوفوس اعلام کرد: «مهاجم قبل از این که ضربه نهایی را بزند، مانند یک شکارچی تا دیر وقت منتظر می‌ماند تا سازمان قربانی، کمترین آمادگی را برای مقابله داشته باشد؛ یک حمله پنهانی در حالی که قربانی عملاً خواب است. این باج‌افزار ابتدا فایل‌ها و دایرکتوری‌های مهم را رمزگذاری می‌کند و سپس سراغ تمامی چیزهای دیگر می‌رود». مشخص نیست که مهاجمانِ SamSam در جایی در اروپای شرقی یا آسیا هستند. اما با قاطعیت می‌توان گفت که این مهاجمان روزبه‌روز باتجربه‌تر می‌شوند و آگاهی آن‌ها از امنیت عملیاتی رو به افزایش است. آن‌ها به طور چشمگیری میزان باج را افزایش داده‌اند. طبق اعلام سوفوس، سرعت این حملات هیچ نشانه‌ای از کاهش ندارد.

Black Hat USA 2018: SamSam has yielded $6M for creators
SamSam creators to date have raked in $6 million and the ransomware continues to be a thorn in the sides of organizations in both the public and private sectors.
Peter MacKenzie, global malware escalations manager working in Sophos Technical Support, told SC Media during the Black Hat 2018 show in Las Vegas that 74 percent of known victims are located in the U.S., with the largest random payout topping $64,000.

While many of the high-profile attacks have been aimed at medium-to-large public sector organisations in health care, education, and government, those still make up only about half of the attacks. The rest, MacKenzie said, have targeted private-sector organizations.

However, members of that latter group has been curiously silent about their travails. Sophos research found that 100 percent of government organizations “went public” about attacks, while in health care the report rate was 70-plus percent and in education over 80 percent, said MacKenzie. “But in the private sector, zero percent reported,” which is not prudent, particularly “considering GDPR.”

SamSam has proven to be a thorny challenge for security teams. It is atypical of ransomware attacks in that its entire attack process is manual, MacKenzie said.

And while the grammatical errors are a clue that the attackers may not speak English as a first language, the attacks don't rely on the typical badly worded spam email with an attachment.

Instead the attacks are old school, using “tools that attempt as many logins as quickly as the Remote Desktop Protocol will permit,” Sophos said in a report.

Once in, attackers spread the “payload laterally across the network; a sleeper cell that lays in wait for instructions to begin encrypting,” Sophos said.

Because SamSam encrypts document files, images, and other personal or work data, as well as “configuration and data files required to run applications (e.g., Microsoft Office),” Sophos said that “victims whose backup strategy only protects the user's documents and files won't be able to recover a machine without reimaging it first.”

Attribution, as with many threats, is difficult. MacKenzie said research indicates that SamSam is likely the work of a small group.

Attacks tend to occur after normal business hours when admin staffs are smaller and abnormal behavior can fly under the radar.

“Ever a predator, the attacker waits until late at night, when the target organization is least well equipped to deal with it, before the final blow is struck,” said Sophos. “A sneak attack while the target literally sleeps, SamSam encrypts a prioritized list of files and directories first, and then everything else.”

Whether or not this means that SamSam attackers are based somewhere on Eastern Europe or Asia is unclear.
What is certain, however is that SamSam attackers are becoming progressively savvier, showing “an increasing awareness... of operational security.” And they have bumped up ransoms dramatically. “The tempo of attacks shows no sign of slowdown,” Sophos said.




منبع: scmagazine.com | تاریخ خبر:۱۰ آگوست ۲۰۱۸- ۱۹ مرداد ۱۳۹۷