· 之前的報(bào)告稱SamSam只賺了八萬五千美元贖金,但根據(jù)Sophos白皮書,SamSam其實(shí)在過去兩年半以來已賺取了接近六百萬美元贖款。
· 74%已知的受害者來自美國,而其他主要受攻擊地區(qū)包括:澳洲 (2%)、印度 (1%)、中東 (1%)、加拿大 (5%),以及英國 (8%)。
· 世界各地的企業(yè)應(yīng)提高警惕,并確保其軟、硬件經(jīng)常保持更新,以防止日后受到這類勒索軟件攻擊。
北京,2018年8月2日–網(wǎng)絡(luò)和端點(diǎn)安全的全球領(lǐng)導(dǎo)廠商Sophos(倫敦證交所代碼:SOPH)發(fā)布了一份白皮書,深入調(diào)查首次在2015年12月出現(xiàn)的SamSam勒索軟件攻擊。該白皮書名為《SamSam: 賺取近六百萬美元贖金的勒索軟件》,旨在通過總結(jié)關(guān)于攻擊工具、技術(shù)和協(xié)議等主要發(fā)現(xiàn)來全面了解這種獨(dú)特的勒索軟件。
與其他大部分勒索軟件不同,SamSam是一種全面的加密工具,除了工作數(shù)據(jù)文件,還會使那些對Windows運(yùn)行影響不大的程序無法使用,而這些程序一般都不會有例行備份。SamSam的獨(dú)特之處在于手動發(fā)動攻擊,因此黑客能夠采取相應(yīng)策略躲避安全工具的檢測。如果數(shù)據(jù)加密過程受到干擾,這款惡意軟件甚至能夠即時徹底清除任何自身痕跡,阻礙調(diào)查。此外,從攻擊中恢復(fù)可能需要重新映像和/或重新安裝軟件以及恢復(fù)備份,導(dǎo)致許多受害者無法得到充足的恢復(fù)或者快速確保業(yè)務(wù)的持續(xù)性,最后不得不支付贖金。
SamSam勒索軟件白皮書的主要發(fā)現(xiàn)包括:
· Sophos揭示74%的已知受害者來自美國,其他已知遭受攻擊的地區(qū)包括:澳洲 (2%)、印度 (1%)、中東 (1%)、加拿大 (5%),以及英國 (8%)。
· 部分受害者匯報(bào)了影響廣范的勒索軟件事故,這些事故嚴(yán)重影響了包括醫(yī)院,學(xué)校及市政府等一些大型機(jī)構(gòu)的運(yùn)營。
· 通過追蹤由比特幣支付獲得的攻擊者的錢包地址,Sophos計(jì)算出SamSam已經(jīng)賺取了超過五百九十萬美元贖金(注),而不是先前所知的八萬五千美元。
Sophos全球惡意軟件升級經(jīng)理Peter Mackenzie表示:“絕大部分勒索軟件都是利用簡單的技術(shù),通過大型的、吵吵鬧鬧的且無針對性的垃圾郵件活動感染受害者,并勒索相對較少的贖金。而SamSam的不同之處在于它是一種定制的有針對性的攻擊,可造成最大損害并且贖金可達(dá)數(shù)萬美元。更令人驚訝的是,SamSam采取手動攻擊,黑客并不會明刀明槍,而是靜悄悄翻墻入室。因此他們可以采取對策逃避安全工具的檢測,還會在受到干擾時立即消除自身痕跡,阻礙調(diào)查。”
Mackenzie還表示:“SamSam提醒企業(yè)必須主動監(jiān)管它們的安全策略。通過部署深度防御措施,企業(yè)可以減少其網(wǎng)絡(luò)暴露于安全威脅之下,避免成為黑客易于尋獲的目標(biāo)。我們建議IT主管遵循安全的最佳實(shí)踐,包括使用難以破解的密碼及嚴(yán)格執(zhí)行程序修補(bǔ)。”
Sophos建議以下四項(xiàng)安全措施:
· 僅允許使用VPN的員工遠(yuǎn)程訪問任何系統(tǒng),從而限制對端口3389 (RDP)的訪問,利用多因素身份驗(yàn)證進(jìn)行VPN訪問。
· 為整個企業(yè)網(wǎng)絡(luò)定時執(zhí)行漏洞掃描和滲透測試。倘若企業(yè)未曾跟進(jìn)新近的滲透測試報(bào)告,現(xiàn)在便應(yīng)馬上進(jìn)行。
· 為敏感的內(nèi)部系統(tǒng)啟動多重認(rèn)證,即使是LAN或VPN上的員工也必須遵從。
· 建立離線的非現(xiàn)場備份,以及制訂涵蓋修復(fù)數(shù)據(jù)與整個系統(tǒng)的災(zāi)難復(fù)計(jì)劃。