SamSam 是近年勒索軟件的新星,網絡及端點安全廠商 Sophos 發表白皮書詳解 SamSam 何解發動成功兼大賺。白皮書指出,SamSam 的賺錢能力並非如坊間所指的只有 8.5 萬美元,而是在這兩年半以來,已詐騙近 600 萬美元贖金。它吸金力之強,原來背後反其道,全以人手發動攻擊。
勒索軟件 SamSam 在 2015 年被首次發動攻擊後,主要已知的受害者來自美國,有 74%。其他受攻擊地區包括:澳洲(2%)、印度(1%)、中東(1%)、加拿大(5%)及英國(8%)。Sophos 透過追蹤支付到黑客已知錢包位址的 Bitcoin 款項,計算出它已經賺取了超過 590 萬美元贖金。SamSam 之所以成功,原來跟大部分勒索軟件不同,屬於全面的加密工具,除了工作數據檔案外,還會令那些不會影響 Windows 運行的程式無法運作,這些程式一般都不會有例行備份。
同時,SamSam 的獨特之處在於以人手發動攻擊,黑客有需要時可作出相應行動以躲避安全工具的偵測。假如數據加密過程受到干擾,SamSam 甚至能夠即時徹底清除任何自身痕跡,妨礙偵查。
由於企業要回復運作,或需要重載檔案鏡像或重新安裝軟件,要還原備份,受害者因無法及時復原系統維持業務運作,只好就範支付贖金。Sophos 環球惡意軟件升級經理 Peter Mackenzie 指出:「絕大部分勒索軟件都利用簡單的手法,大鑼大鼓發動具規模但欠缺特定目標的垃圾郵件攻擊,務求感染不同的受害者,所要求的贖金亦相對較少。反之,SamSam 屬於針對性的攻擊,並為造成目標重大損失而設計,所要求的贖金也數以萬美元計。」
白皮書提醒企業要做足以下四項安全措施:
- 限制任何人連接 3389 埠(即預設 RDP 埠),只容許使用 VPN 的員工遙距儲存系統,而 VPN 儲存亦同時要求多重認證。
- 為整個企業網絡定時執行漏洞掃描和滲透測試。倘若企業未曾跟進新近的滲透測試報告,現在便應馬上進行。
- 為所有敏感的內部系統啟動多重認證,即使是 LAN 或 VPN 上的員工也必須遵從。
- 建立離線的場外備份,以及制訂涵蓋修復數據與整個系統的災難復原計畫。