<
>

2018年新闻稿

2018年8月7日

SamSam :(几乎)六百万美元的勒索软件

索福斯网络和端点安全的全球领导者,今天发布了有关SamSam勒索软件攻击的深入调查白皮书,该白皮书于2015年12月首次出现。SamSam :(几乎)六百万美元的勒索软件,本白皮书旨在通过总结有关攻击者的工具,技术和协议的主要发现,全面了解这种独特的勒索软件攻击。 
 
与大多数勒索软件不同,SamSam是一种彻底的加密工具,不仅使工作数据文件不可用,而且使任何对Windows计算机的运行不是必不可少的程序都无法使用,并且大多数程序都没有常规备份。 SamSam的攻击方法是独特的,因为它是手动的,因此,攻击者可以采取对策(如果需要)来逃避许多安全工具。如果加密数据的过程被中断,则该恶意软件能够立即全面擦除自身的所有痕迹,从而阻止任何调查。此外,从攻击中恢复可能需要重新映像和/或重新安装软件以及还原备份。结果,许多受害者无法充分或迅速地恢复以确保业务连续性,而不得不支付赎金。

根据 索福斯全球恶意软件升级经理Peter Mackenzie,“大多数勒索软件通过简单的技术感染受害者并要求相对较小的勒索金额,从而在大型,嘈杂且无针对性的垃圾邮件活动中传播。 SamSam的与众不同之处在于,它是一种针对性攻击,旨在最大程度地造成损害,赎金要求以数万美元衡量。攻击方法出人意料地是手动的,比捣烂抢劫更像猫贼。结果,攻击者可以采取对策来逃避安全工具,如果被中断,攻击者可以立即删除自身的所有痕迹,以阻止调查。”

Mackenzie补充说:“ SamSam提醒企业,他们需要积极管理其安全策略。通过部署深度防御方法,他们可以确保其网络不那么可见,并且不易受到攻击,从而避免成为黑客正在寻找的低挂水果。我们建议IT经理遵循安全最佳实践,包括难以破解的密码和严格的修补程序。”
 
Sophos建议采取以下四种安全措施:

  • 通过仅允许使用VPN的人员能够远程访问任何系统,来限制对端口3389(RDP)的访问。利用多因素身份验证进行VPN访问。

  • 完成整个网络上的常规漏洞扫描和渗透测试;如果您没有按照最新的笔测试报告进行操作,请立即执行。

  • 为敏感的内部系统,甚至对于LAN或VPN上的员工,激活多因素身份验证。

  • 创建离线和离线的备份,并制定涵盖数据和整个系统还原的灾难恢复计划。