SamSam勒索軟件出現新的變種 目前已獲利近6百萬美元
責編:gltian |2018-08-02 15:02:24安全專家發布了一份關于黑客的數百萬美元黑市業務的報告,他們分析了SamSam勒索軟件案例作為案例研究。跟蹤犯罪團伙管理的比特幣地址的研究人員發現,自?2015?年?12月威脅出現以來,SamSam勒索軟件背后的騙子已經從受害者那里勒索了近600萬美元。
“自從2015年底以來,SamSam的創造者已經獲得超過了599萬美元。74%的已知受害者都在美國。其他已知遭受襲擊的地區包括加拿大,英國和中東。到目前為止,個人受害者支付的最大贖金價值為64,000美元,與大多數勒索軟件家庭相比,這個數字大。”
Sophos跟蹤了他們發現的所有SamSam版本中報告的比特幣地址,并發現233名受害者總共支付了590萬美元,并估計該組織每月凈賺約30萬美元。
“總的來說,我們現在已經確定了157個已收到贖金的唯一地址,以及89個用于勒索贖金和樣本文件的地址,但迄今為止尚未收到付款。通過分析付款,并將其與當時的贖金票據進行比較,我們可以??估算到2018年7月?19?日選擇支付至少部分贖金金額為233?的個人受害者人數。估計有1人新受害者每天都遭到襲擊,我們認為大約四分之一的??受害者至少支付部分贖金。”
SamSam勒索軟件支付
攻擊者通過破壞目標計算機上的RDP手動部署SamSam勒索軟件,這一方面使SamSam感染與利用垃圾郵件活動或惡意廣告的其他勒索軟件相關。攻擊者對目標系統的RDP進行暴力攻擊,有時他們會利用通常在黑暗網絡上出售的其他數據泄露所獲得的憑據。一旦攻擊了目標組織內的系統,SamSam會在竊取憑據時搜索其他機器進行感染。
當運營商發現潛在目標時,他們使用PSEXEC和批處理腳本等工具手動部署SamSam。
下圖顯示了最新SamSam變體的不同步驟,其初始感染載體仍不清楚。
一旦感染了目標組織中最大數量的系統,運營商就會嘗試以特殊價格完全清理受感染的系統。
最高估計值為解密密鑰的比特幣價值850,000美元。
由于多層優先級系統,加密過程首先涉及最有價值的數據,SamSam勒索軟件不會加密Windows系統相關文件。
自發現以來,SamSam勒索軟件針對的是大型組織,包括醫院和教育機構。
Sophos提供以下建議以保護組織網絡免受SamSam勒索軟件的攻擊:
定期修補應用程序和操作系統的已知漏洞;
保持定期備份;
使用多因素身份驗證;
限制對RDP的訪問(在端口3389上);