SamSam ransomware – 05.12.2018

​Министерството на вътрешната сигурност и ФБР на САЩ са идентифицирали участници в киберзаплахи, използващи SamSam ransomware, известен също като MSIL/SAMAS.A, насочен към множество индустрии, включително и някои критични инфраструктури в САЩ и по целия свят.

Участниците в тази киберзаплаха използват Windows сървърите, за да получат постоянен достъп до мрежата на жертвата и да заразят всички достъпни хостове. Според съобщенията на жертвите в началото на 2016 г. киберпрестъпниците използват JexBoss Exploit Kit за достъп до уязвими JBoss приложения. От средата на 2016 г. анализът на ФБР на машините на жертвите показва, че киберпрестъпниците използват RDP протокола (Remote Desktop Protocol), за да получат постоянен достъп до мрежите на жертвите. Обикновено те използват атаки с груба сила (brute force) или откраднати идентификационни данни. Откриването на проникването през RDP може да бъде предизвикателство, защото злонамереният софтуер влиза чрез одобрена точка за достъп.

CERT България препоръчва на потребителите и администраторите да се запознаят със следните материали за повече информация:

Предупреждение AA18-337A: SamSam Ransomware

https://www.us-cert.gov/ncas/alerts/AA18-337A

Доклади от анализа на зловредния софтуер:

https://www.us-cert.gov/ncas/analysis-reports/AR18-337A

https://www.us-cert.gov/ncas/analysis-reports/AR18-337B

https://www.us-cert.gov/ncas/analysis-reports/AR18-337C