Sophos 发表了名为《SamSam: The (Almost) Six Million Dollar Ransomware》的白皮书,详细探讨於2015年12月首度出现的SamSam勒索软体攻击,透过了解其主要攻击工具、技术和原理,让各界深入了解这种独特的勒索软体攻击。
SamSam与其他大部分勒索软体不同,是全面性的加密工具,除了工作资料档案之外,还会令那些不会影响Windows运作的程式无法执行,而这些程式一般都不会有例行性的备份。SamSam的独特之处在於以手动发动攻击,因此有需要时骇客可以作出因应的行动以躲避安全工具的侦测。假如资料加密过程受到干扰,这款恶意软体甚至能够即时彻底清除任何自身痕迹以躲避侦查。此外,若企业要回复运作,除了需要重新载入档案镜像或重新安装软体,还得要还原备份,使得许多受害者因无法及时复原系统以维持业务运作,结果唯有就范支付赎金。
SamSam勒索软体白皮书的主要发现包括Sophos揭示有74% 的已知受害者来自美国/,至於其他主要受攻击地区就包括:澳洲 (2%)、印度 (1%)、中东 (1%)、加拿大 (5%),以及英国 (8%)。有部分受害者回报了一些影响广泛的勒索软体事件,其严重妨碍一些大型机构,包括医院,学校及市政府的运作。
Sophos透过追踪支付到骇客已知钱包位址的Bitcoin款项,计算出SamSam已经赚取了超过五百九十万美元赎金,而非如先前市场所知的八万五千美元。
Sophos全球恶意软体升级经理Peter Mackenzie指出:「绝大部分勒索软体都是利用简单的手法,大张旗鼓地发动具规模但欠缺特定目标的垃圾邮件攻击,以求感染不同的受害者,所要求的赎金亦相对较少。反之,SamSam属於针对性的攻击,并为造成目标重大损失而设计,所要求的赎金也数以万美元计。更令人惊讶的是,SamSam是透过人工作出攻击,骇客不会明目张胆,而是静悄悄翻墙入室。他们可以采取对策来躲避安全工具,还会在受到干扰时立即消除自身的痕迹以妨碍调查。」
他补充:「SamSam提醒了企业必须主动监管它们的安全策略。企业可以利用多层式防御机制来减少企业网路暴露於安全威胁之下,避免其成为骇客易於寻获且垂手可得的目标。我们建议IT主管施行以下最隹作法,包括使用难以破解的密码及严格执行程式修补。」
Sophos建议以下四项安全措施:(一)限制任何人连接3389埠 (即预设RDP埠),只容许使用VPN的员工透过遥距储存系统,而VPN储存方面亦同时要求使用多重认证。(二)对整个企业网路定时执行漏洞扫描和渗透测试。若企业尚未执行近期的渗透测试,便应立即执行。(三)为所有敏感的内部系统启用多重认证,即使是LAN或VPN上的员工也必须遵从。(四)建立离线的异地备份,以及制订涵盖修复资料与整个系统的灾难复原计画。