企業を標的としたSamSamランサムウェアは、2015年12月に初めて出現して以来、攻撃者に推定590万ドル(450万ポンド)の利益をもたらしている。
セキュリティソフトウェア会社ソフォスはニュートリノと協力し、身代金要求メモやサンプルファイルに記載されたビットコインアドレスの追跡に基づいて推定値を算出した。
過去 2 年半にわたり、SamSam は病院、学校、都市を含むいくつかの大規模組織の運営に大きな影響を与えてきました。
ソフォスは、既知の被害者の約4分の3(74%)が米国に拠点を置いていると特定しました。攻撃を受けた地域としては、カナダ、英国、中東などが挙げられます。
SamSam の最も悪名高い被害者は 3 月のアトランタ市だが、医療診療管理ソフトウェア プロバイダーの Allscripts やインディアナ州のハンコック ヘルス病院に対する破壊的な攻撃も記録されている。
「多くの被害者は、自力では事業継続を確保できるほど十分に、あるいは迅速に復旧できないことに気づき、しぶしぶ身代金を支払った」とソフォスは述べた。
![SamSam 被害者の業種別内訳 [出典: Sophos ホワイトペーパー]](https://image.brawte.com/anejbkmn/48/a7/samsam_victims.webp)
業界別のSamSam被害者数
追跡されているビットコインウォレットへの支払いを分析した結果、SamSamの攻撃者は最大64,000ドルもの身代金を受け取っていることが判明しました。身代金は劇的に増加しており、攻撃のペースは衰える気配がありません。
ソフォスはSamSamキャンペーンの出現以来、調査を続けてきました。この調査に基づく報告書(PDF)は火曜日に公開され、攻撃者のツール、手法、プロトコルに関する調査結果をまとめています。
ソフォスによると、攻撃方法は驚くほど手作業で、強盗というよりは猫泥棒に近いとのことです。そのため、攻撃者は(必要に応じて)対策を講じることができ、多くのセキュリティツールを回避することに長けています。データの暗号化プロセスが中断されると、マルウェアは自身の痕跡をすべて徹底的に削除します。
多くの攻撃は、ネットワーク内のマシンへのリモートデスクトップ攻撃から始まります。攻撃者は、脆弱なマシンにエクスプロイトを仕掛け、リモートコード実行を実行することも知られています。攻撃者は、内部ネットワークをスキャンしながら、侵入先のマシンに常駐し続けます。
攻撃の背後にいるハッカーは、システム管理や侵入テストに通常使用される従来のオープンソースおよび商用ツールを利用して、パスワードを盗み、ランサムウェアのインストーラーをドメイン管理者のマシンに移動し、接続されたワークステーションにランサムウェアをプッシュします。
多くのランサムウェア攻撃とは異なり、SamSamの感染は、従来の悪意のあるスパムやドライブバイダウンロード攻撃を起点としません。ソフォスによると、各攻撃は標的のネットワークへの手動侵入によって行われます。
マルウェアが内部ネットワークをスキャンし、潜在的な被害者のリストを作成できるようになると、ハッカーは、被害者のタイムゾーンの真夜中まで待ってから攻撃を実行します。攻撃では、マルウェアを配布し、侵害されたマシンの暗号化を開始するコマンドが発行されます。
![SamSam の進化のタイムライン [出典: Sophos ホワイトペーパー]](https://image.brawte.com/anejbkmn/ff/c3/samsam_evolution_timeline.webp)
SamSamランサムウェアの進化のタイムライン
SamSam は特に徹底した暗号化ツールであり、作業データ ファイルだけでなく、アプリケーション (Microsoft Office など) の実行に必要な構成ファイルやデータ ファイルも使用できなくします。これらのファイルのほとんどは定期的にバックアップされていません。
その結果、回復には、バックアップの復元だけでなく、ソフトウェアの再イメージ化や再インストールが必要になる場合があります。
「攻撃者は痕跡を隠すのが非常に上手で、時間の経過とともにますます偏執的(または経験豊富)になり、徐々にツールやウェブサイトにセキュリティ機能を追加しているようだ」とソフォスは報告している。
研究者らは、攻撃者が2018年に月平均30万ドル(22万8000ポンド)弱を稼いでいたと推定しています。支払いはビットコインで行われます。全額の支払いが完了すると、ハッカーは暗号通貨をタンブラーとミキサーのシステムに移動し、無数のマイクロトランザクションを通じてビットコインの資金源をロンダリングしようとします。
![SamSam 身代金支払い [出典:Sophos ホワイトペーパー]](https://image.brawte.com/anejbkmn/57/2d/sam_sam_ransom_payments.webp)
SamSamの身代金支払い
最近の身代金要求メッセージは謝罪的で、ほとんど反省しているような口調で書かれており、暗号化されたファイルには必ず「SORRY-FOR-FILES.html」というファイル名と拡張子「.weapologize」が付けられている。
このマルウェアに対する防御策としては、定期的なバックアップ、多要素認証、ポート3389(RDP)へのアクセス制限などが挙げられます。これらをはじめとする対策については、SophosのNaked Securityブログの記事で解説されています。®
