網絡及端點安全供應商Sophos剛發表了名為《SamSam: The (Almost) Six Million Dollar Ransomware》之白皮書,詳細探討於2015年12月首度出現的SamSam勒索軟件攻擊,透過總括主要攻擊工具、技倆和協定,讓各界深入了解這種獨特的勒索軟件攻擊。

全面加密工具

SamSam與其他大部分勒索軟件不同,屬於全面的加密工具,除了工作數據檔案之外,還會令那些不會影響Windows運行的程式無法運作,而這些程式一般都不會有例行備份。SamSam的獨特之處在於以人手發動攻擊,故黑客有需要時可作出相應行動以躲避安全工具的偵測。假如數據加密過程受到干擾,這款惡意軟件甚至能夠即時徹底清除任何自身痕跡,妨礙偵查。此外,若企業要回復運作,或需要重載檔案鏡像或重新安裝軟件,亦要還原備份,使許多受害者都無法及時復原系統以維持業務運作,結果唯有就範,支付贖金。

SamSam勒索軟件白皮書的主要發現包括:

  • Sophos揭示有74%的已知受害者來自美國,至於其他主要受攻擊地區就包括:澳洲 (2%)、印度 (1%)、中東 (1%)、加拿大 (5%),以及英國 (8%)。
  • 有部分受害者匯報了影響廣範的勒索軟件事故,嚴重妨礙一些大型機構,包括醫院,學校及市政府的運作。
  • Sophos透過追蹤支付到黑客已知錢包位址的Bitcoin款項,計算出SamSam已經 (註) 賺取了超過五百九十萬美元贖金,而非如先前市場所知的八萬五千美元。

Sophos環球惡意軟件升級經理Peter Mackenzie指出:「絕大部分勒索軟件都是利用簡單的手法,大鑼大鼓發動具規模但欠缺特定目標的垃圾郵件攻擊,務求感染不同的受害者,所要求的贖金亦相對較少。反之,SamSam屬於針對性的攻擊,並為造成目標重大損失而設計,所要求的贖金也數以萬美元計。更令人驚訝的是,SamSam是透過人手作出攻擊,黑客並不會明刀明槍,而是靜悄悄翻牆入室。他們可以採取對策逃避安全工具的行動,還會在受到干擾時立即消除自家痕跡,妨礙偵查。」

他補充:「SamSam提醒了企業必須主動監管它們的安全策略。企業可以藉著採取多層防禦機制去減少轄下網絡暴露於安全威脅之下,避免網絡成為黑客易於尋獲、垂手可得的目標。我們向IT主管作建議以下的最佳實踐,當中包括使用難以破解的密碼及嚴格執行程式修補。」

Sophos建議以下四項安全措施:

  • 限制任何人連接3389埠 (即預設RDP埠),只容許使用VPN的員工遙距儲存系統,而VPN儲存亦同時要求多重認證。
  • 為整個企業網絡定時執行漏洞掃描和滲透測試。倘若企業未曾跟進新近的滲透測試報告,現在便應馬上進行。
  • 為所有敏感的內部系統啟動多重認證,即使是LAN或VPN上的員工也必須遵從。
  • 建立離線的場外備份,以及制訂涵蓋修復數據與整個系統的災難復原計畫。
benny
About Admin

企業IT傳媒人,經常四周穿梭科技巨企及論壇,熱愛探討新商機。性格貪玩,但喜歡閱讀沉悶的企業賺蝕數字,最重視辦事效率。

Similar Posts