Министерството на вътрешната сигурност и ФБР на САЩ са идентифицирали участници в киберзаплахи, използващи SamSam ransomware, известен също като MSIL/SAMAS.A, насочен към множество индустрии, включително и някои критични инфраструктури в САЩ и по целия свят.
Участниците в тази киберзаплаха използват Windows сървърите, за да получат постоянен достъп до мрежата на жертвата и да заразят всички достъпни хостове. Според съобщенията на жертвите в началото на 2016 г. киберпрестъпниците използват JexBoss Exploit Kit за достъп до уязвими JBoss приложения. От средата на 2016 г. анализът на ФБР на машините на жертвите показва, че киберпрестъпниците използват RDP протокола (Remote Desktop Protocol), за да получат постоянен достъп до мрежите на жертвите. Обикновено те използват атаки с груба сила (brute force) или откраднати идентификационни данни. Откриването на проникването през RDP може да бъде предизвикателство, защото злонамереният софтуер влиза чрез одобрена точка за достъп.
CERT България препоръчва на потребителите и администраторите да се запознаят със следните материали за повече информация:
Предупреждение AA18-337A: SamSam Ransomware
https://www.us-cert.gov/ncas/alerts/AA18-337A
Доклади от анализа на зловредния софтуер:
https://www.us-cert.gov/ncas/analysis-reports/AR18-337A