بررسی باج افزار SamSam

آخرین گزارشات تهدیدات SophosLabs نشان می‌دهد که مجرمان سایبری به روش‌های نفوذ قدیمی بازگشته‌اند تا کارآمدی استفاده از ابزارهای Ransomware بصورت هدفمند را افزایش دهند. حملات مبتنی بر باج‌افزار مسئله‌ی تازه‌ای نیستند اما مواردی مانند CryptoLocker یا WannaCry، فرصت‌طلبانه و حساب‌نشده بودند و با رشد زیادی روبرو نشدند. این حملات برای نفوذ به اهداف خود روی خودکارسازی ساده حساب می‌کردند، مانند پیوست‌هایی که نقش تله را ایفا می‌کردند و از طریق ایمیل، به شمار زیادی از قربانیان احتمالی ارسال میشدند.

بااین‌حال، چشم‌گیرترین نوآوری که در سال 2018 توسط Sophos دیده شده، مبتنی بر کنترل دستی است و فرایند خودکارسازی تا حدودی کنار گذاشته شده است. با توجه به آنکه پیاده‌سازی دستی یک حمله زمان‌بر است و به خوبی توسعه پیدا نمی‌کند، اما شناسایی‌اش دشوار است چراکه از الگوی خاصی پیروی نمی‌کند و متوقف کردنش نیز دشوار است، زیرا مهاجم می‌تواند در فرایند حمله خودش را با اقدامات امنیتی وفق دهد.

بر اساس گزارشات SophosLabs، مزیت‌های حملات دستی به شرح زیر ارائه شده است:

در حملات هدف‌مند، رفتار مهاجم کاملا غیرقابل پیش‌بینی است و وی پس از مدتی می‌تواند به اقدامات دفاعی که در ابتدا مانع حمله‌اش می‌شد پاسخ دهد. در باج‌افزار SamSam که سوفوس از سال 2015 روند تکامل آنرا دنبال می‌کند، به خوبی دیده شد که این روش تا چه اندازه می‌تواند موفق باشد. در اوایل سال 2018 پژوهشگران Sophos کشف کردند که یک گروه یا شخص با استفاده از SamSam طی دو سال و نیم گذشته، توانسته اند 6 میلیون دلار را از قربانیان خود اخاذی کنند. به نظر می‌رسد در دسامبر سال 2016، پس از کار کردن در مقیاسی کوچکتر، این گروه متوجه شده است که باج‌افزار‌ها و حملات بصورت دستی و هدف‌دار کارآمدی لازم را در اختیار دارد.

SamSam در بین باج‌افزارهایی که به طور گسترده‌تری پیاده‌سازی شده‌اند، موفق است و دلیل این امر مقدار مبلغی است که مهاجمان درخواست می‌کنند؛ از این نظر که درخواست‌های فرصت‌طلبانه‌ترِ باج‌افزار‌های شناخته‌شده‌تر در مقابل SamSam بسیار کم به نظر می‌رسند. SamSam به ازای هر حمله تا 50.000 دلار اخاذی می‌نماید، این مقدار چندین برابر بیشتر از GandCrab است که بسیار متداول‌تر می‌باشد و تنها مبلغ 400 دلار درخواست می‌کند. این مقدار درخواستی بسیار بالا می‌باشد، زیرا سطح خطر نیز بسیار زیاد است و این امر به ماهیت دستی حمله برمی‌گردد.

قربانی احتمالا بر این مبنا انتخاب می‌شود که از Windows Remote Desktop Protocol یا RDP استفاده کرده است و در نتیجه از اینترنت قابل دسترسی بوده و با استفاده از brute-force رمزعبورهای ضعیف را می‌توان پیدا کرد. مهاجم که توانسته است وارد سیستم شود، ابزاری مانند Mimikatz را اجرا می‌کند تا با استفاده از آن در زمان Log In کردن، به اطلاعات اعتباری مدیران دامین کنترلرها پی ببرد.

مهاجمان می‌توانند از ابزار مدیریت سیستم استفاده کنند تا جزئیات شبکه‌ی قربانی را کشف کرده، نرم‌افزار امنیتی که حفاظت ضعیفی دارد را غیرفعال نموده و بدافزار رمزگذاری SamSam را در هر تعداد از سیستم‌های هدف دیگر که می‌توانند، توزیع نمایند. تصمیم هوشمندانه‌ای که گرفته‌اند این است که باج‌افزار در ابتدای کار در طول شب اجرا می‌گردد، در نتیجه کارکنانِ امنیتیِ کمی حاضر هستند تا به موج رمزگذاری پرسرعت واکنش نشان دهند. راه حلی که SamSam ارائه می‌کند شامل رمزگشایی نیز می‌گردد، هر قربانی، سایت Dark Webی را دریافت می‌کند که مولفان  SamSamدر آن نوعی پشتیبانی فنی ارائه می‌نمایند.

SamSam تنها باج‌افزاری نیست که به این شیوه‌ی هدف‌مند مورد استفاده قرار گرفته است. حملاتی که توسط بدافزار BitPaymer انجام می‌شود، تقریبا غیرقابل شناسایی هستند و درخواست‌های اخاذی آن‌ها به 500.000 دلار هم می‌رسیده‌اند. به نظر می‌رسد Dharma توسط چندین گروه که کسب‌و‌کار‌های کوچک را هدف قرار می‌دادند مورد استفاده قرار گرفته است.

موفقیت باج‌افزارهای هدف‌دار و ظهور سایر Ransomwareها مانند Ryuk نشان می‌دهد که روند حملات هدف‌دار قرار است در سال 2019 نیز ادامه داشته باشد. تیم Naked Security، راهکارهای کامل و گسترده‌ای در مورد دفاع در مقابل SamSam و باج‌افزارهای مانند آن منتشر کرده است و در آن گفته شده است که اولین و مهم‌ترین کار، قفل کردن Windows RDP می‌باشد. SamSam به سراغ ضعیف‌ترین‌ها می‌رود، پس با اقدامات احتیاطی ساده‌ای می‌توان به تیم‌های امنیتی شبکه در تعقیب این باج‌افزار کمک نمود.