セキュリティ専門家らは、新しい種類のランサムウェアを使って脆弱なサーバーを狙う「広範囲にわたる攻撃」に警戒するよう病院に警告している。
SamSam ランサムウェアの亜種は脆弱なサーバーを標的とし、犯罪者はネットワークに侵入してアクセスできるすべてのシステムに感染します。
Cisco の Talos 脅威担当 Nick Biasini 氏は、SamSam の作成者が盗んだログイン情報を使って医療分野のサーバーを破壊し、個々のシステムを感染させていると述べています。
「Cisco Talosは現在、Samsam(Samas、MSIL.B/C)ランサムウェアの亜種を悪用した広範なキャンペーンを観察しています」とビアシーニ氏は言う。
「この特定のファミリーは、サーバーを侵害して配布され、それを足がかりとしてネットワークを横方向に移動して追加のマシンを侵害し、身代金を要求しているようです。
「特にヘルスケア業界に重点が置かれているようだ。」
Jboss アプリケーション サーバーは、JexBoss セキュリティ テスト ツールを使用してターゲットにされていると彼は言います。
Intel の 2 月のレポート [PDF] によると、攻撃者はcsvde.exeツールを使用して Active Directory の資格情報を収集し、ランサムウェア感染の拡大に役立つ横方向の移動も行っているとのことです。
SamSam 被害者は賠償金を支払う。
SamSam と別の亜種 Maktub は、ファイルの暗号化がオフラインで行われ、支払いに通常のコマンド アンド コントロール インフラストラクチャを使用しないという点でもさらに独特です。
しかし、MalwareBytesのセキュリティ専門家であるHasherezade氏によると、Maktubは典型的なフィッシング攻撃を通じて拡散し、そのコードはおそらく感染プロセスを早めるためにファイルを暗号化し圧縮するだろうとのことだ。
Maktub は、おそらく地元の法執行機関の追及を避けるため、ロシア語キーボード ロケールが有効になっているシステムには感染しません。
「Maktub Lockerは明らかにプロフェッショナルによって開発されました」と彼女は言います。「製品全体の複雑さは、異なる専門分野を持つ人々のチームワークによる成果であることを示しています。」
対照的に、SamSam はランサムウェア業界の素人によるものだと Check Point のセキュリティ担当 Gil Sasson 氏は言う。
Maktub の被害者は支払いサイトに誘導され、2 つのファイル復号を無料で提供される一方、SamSam の被害者は、ブログのコメント セクションに支払いの証明を記載する前に、マシン 1 台につき 1 ビットコインの身代金を支払うよう求められます。
インテルの報告書によると、料金を支払ったユーザーには、復号ソフトウェアのコピーと秘密鍵が提供されると約束されている。ファイルが復号されると、SamSamは自動的に削除される。
VirusTotal は、関連する MD5 をチェックし、これが 1 つのウイルス対策プラットフォームによって汎用マルウェア ツールとして検出されたことを示しています。
攻撃者は最新のWordpressサイトを削除し、被害者のコメントを確認する機能をなくしました。
インテルは 2 月のレポートで、「多くの」被害者が SamSam の身代金を支払ったと見積もっています。®
