SamSam勒索軟體重現江湖：醫院、市政府、ICS公司紛紛中招

2018年伊始，SamSam勒索軟體就已經高舉復甦旗幟，襲擊了多個備受矚目的目標，包括醫院、市議會以及ICS（工業控制系統）公司。

根據相關報道顯示，截至目前，SamSam勒索軟體的攻擊目標包括美國印第安納州格林菲爾德的漢考克健康醫院、印第安納州迪凱特的亞當斯紀念醫院、新墨西哥州法明頓自治市政府、基於雲的EHR（電子健康記錄）提供者Allscripts、美國一家未知名的ICS（工業控制系統）公司等。

其中漢考克健康醫院已經承認，儘管存有備份，但是為了應對美國即將到來的「流感季」，該醫院最終還是選擇支付攻擊者4比特幣（約合55000美元）的贖金來解鎖數據，其他受害者尚未針對此次勒索事件給出任何回復。

證據表明SamSam勒索運動正在活躍

在其中三起事件中，受害者均表示SamSam勒索軟體鎖定了他們的文件，並顯示一則含有「sorry」一詞的贖金通知，通知中解釋了「文件發生了什麼？」、「如何恢復文件？」、「如何獲取私鑰？」以及「如何訪問我們的站點？」等問題。下圖為新墨西哥州法明頓市政府發布的有關該勒索軟體的贖金通知截圖：

通過分析這份贖金通知，我們獲悉了有關SamSam勒索軟體最近的感染情況。根據ID-Ransomware服務提供的數據顯示，僅在2018年1月份就已經有17份與SamSam相關的文件提交給了該服務。

SamSam勒索軟體（也被稱為「SAMAS」勒索軟體）背後的操作者會對互聯網上的電腦進行掃描來尋找開放的RDP連接，隨後攻擊者便會通過暴力破解RDP來進行入侵，然後駐足網路實現進一步傳播。

SamSam勒索軟體具體的贖金通知和擴展名通常會因受害者而異。不過，儘管如此，根據法明頓市政府提供的截圖信息，我們可以確定，從2017年12月26日以來，這種使用「0000-SORRY-FOR-FILES.html」為贖金通知擴展名的SamSam版本已經至少感染了8個實體。受害者多來自美國，也包含少數來自加拿大和印度的受害者。此外，據其他一些受害者報道稱，其文件是用.weapologize的擴展名進行加密的。

攻擊者已經獲利30萬美元

根據調查顯示，上述贖金通知中使用的比特幣錢包地址於12月25日收到了第一筆交易，隨後又在接下來的贖金付款中收到了更多的錢。截至目前，該錢包賬戶已經持有26個比特幣，價值近30萬美元。該犯罪團伙很有可能會在不久的將來攻擊更多受害者來獲取更多收益。

事實證明，越來越多的網路犯罪分子正在通過濫用Windows遠程桌面協議（RDP）來傳播勒索軟體，針對這種威脅，安全專家建議各企業應採取以下預防措施：

當不需要使用RDP，請確保它處於關閉狀態；n考慮使用虛擬專用網路（VPN）從網路外部進行連接；n儘可能使用雙因素認證（2FA）；n經常並且儘早安裝安全補丁；n在被攻擊後，留意攻擊者的活動；n設置鎖定策略來限制密碼猜測攻擊。n當然，還有一個最值得注意但往往被忽視的預防措施就是定期備份敏感數據。n

本文翻譯自：https://www.bleepingcomputer.com/news/security/samsam-ransomware-hits-hospitals-city-councils-ics-firms/，如若轉載，請註明原文地址： http://www.4hou.com/info/news/10045.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：