最新消息
[Sophos News] SamSam:得手近六百萬美元的勒索軟體
經過 SophosLabs 數百小時的廣泛研究,包括原始分析、訪談、研究等等,並與加密貨幣監控組織 Neutrino 密切合作,我們發現惡名昭彰的 SamSam 勒索軟體造成的危害比想像的要大得多 – 總計達 600 萬美元。
SophosLabs 發現了大量關於此勒索軟體的資訊,其使用的是隱密的目標式攻擊手法,與大規模勒索軟體攻擊高調、凌亂但有效的方法不同。
SamSam 並非靠大量受害者的許多小額交易來竊取金錢,而是經由技巧熟練的團隊或個人來發動目標式攻擊,透過為每個受害者量身打造的攻擊造成最大傷害,並要求高達數萬美元的贖金。
相較於過度高調的其他勒索軟體攻擊,SamSam 一直難以捉摸,攻擊鬼祟又謹慎,並且已經經歷了數次關鍵演變。這是一種非常不同的勒索軟體,通常每天會被手動發動毀滅性攻擊。
以下文章揭示 SamSam 的許多最新資訊,探討它如何運作、如何散佈、傳播範圍有多廣,以及為什麼我們到目前為止還不知道 SamSam 造成的影響有多大。我們還追蹤了金錢流向,發現了先前未知的受害者和付款。最後,我們也將討論您和貴組織應該如何防禦這種量身訂製的目標式攻擊。
簡介
2016 年開始時,有一個勒索軟體威脅開始對受害者展開攻擊,而且手法與先前任何勒索軟體攻擊不同。SamSam 是以我們最早發現的樣本檔案名稱所命名,它使用極簡 (但殘酷)的手動方式鎖定並攻擊受害者。
攻擊者使用各種 Windows 內建工具提升自己的權限,然後掃描網路,尋找有價值的目標。他們想取得高權限的憑證,以便複製勒索軟體裝載到每一部電腦 (伺服器、端點或任何可染指的電腦)。
一旦進入電腦,攻擊者就會在網路上橫向散播裝載;亦即一個等待指令便會開始加密的潛伏細胞。攻擊者如同狩獵者般,會一直等到午夜,當目標組織最沒有能力處理攻擊時才吹響進攻號角。當目標還在睡夢中,SamSam 便展開偷襲。首先,它會先加密第一批最優先的檔案與目錄,然後再加密其他所有內容。
與絕大多數所有勒索軟體攻擊不同的是,整個攻擊過程是手動的。罪魁禍首並不是帶附件且語帶威脅的垃圾電子郵件。攻擊者以老式方式闖入:使用可以像遠端桌面通訊協定一樣快速進行多次登入的工具,並利用作業系統弱點 (儘管沒有您想像的那麼多)。當受害者選擇強度不夠且容易猜到的密碼時,SamSam 往往就能得逞。
重要發現
- 自 2015 年底以來,SamSam 已為其開發者賺到超過 590 萬美元。
- 74% 的已知受害者都在美國。其他已知遭受攻擊的地區包括加拿大、英國和中東。
- 到目前為止,個人受害者支付的最大贖金為 64,000 美元,與大多數勒索軟體家族相比,這是一個相當龐大的數字。
- 醫療服務、教育和政府中的中大型公部門組織已遭到 SamSam 鎖定,不過,我們研究發現這些組織只佔確定受害者總數約 50%,其餘包括私人企業等,在其攻擊中一反常態地保持噤聲。
- 攻擊者小心翼翼地選擇目標,而且攻擊準備工作一絲不苟。SamSam 會等候適當時機,通常會在受害者當地時區的午夜或凌晨時分,也就是大多數使用者與系統管理員應該都在睡覺時啟動加密命令。
- 與其他大多數勒索軟體不同的是,SamSam 不只加密文件檔案、圖片及其他個人或工作資料,還會加密應用程式 (例如 Microsoft Office) 執行所需的設定與資料檔案。如果受害者的備份策略只是保護使用者的文件與檔案,則必須重新安裝映像才能復原電腦。
- 每個後續攻擊都顯示出它越來越複雜,而且控制 SamSam 操作安全性的實體的警覺性也越來越高。
- 受害者遭勒贖的贖金成本大幅增加,而攻擊的節奏也沒有顯示出趨緩跡象。
剖析SamSam 攻擊
SamSam 攻擊遵循相對可預測的模式,通常包括以下六個階段。
1.目標識別及獲取
2.穿透網路
3.提升權限
4.掃描網路以尋找目標電腦
5.部署及執行勒索軟體
6.等候付款
SamSam 自出現以來已發展出三個主要版本,以及一些較小的變化 (大部分是實務上的程序):支付網站、勒索信,以及新增到加密檔案的副檔名。
例如,雖然攻擊者一直使用網站來安排支付贖金,但在 beta 測試階段,SamSam 攻擊者使用了 anonyme.com 上託管的網站,該網站 (當時) 是一個匿名託管服務。當他們發佈第一版時,攻擊者轉而使用免費且匿名的 WordPress 網站,但在幾個月後,他們就移到黑暗網站並在 Tor .onion 位址上託管支付網站。
自從最早版本的 SamSam 以來,攻擊後留在每一個受害者網路上的勒索註記都是獨一無二的。大部分勒索信內容都一樣,但是在 2016 年全年和 2017 年大部分時間,受害者都會收到一個唯一的支付網站 URL,以及傳送贖金的比特幣位址。
當第三版 SamSam 出現時,一切又變了。第三版的功能最多,目的是保護軟體完整性並模糊攻擊者的身分。
第三版還有一些小變動,例如勒索信的檔案名稱,以及加密檔案的副檔名。加密檔案本來一律採用相同的命名慣例,也就是在加密檔案尾端附加新的副檔名。但是在 SamSam 第三版中,攻擊者用更懷著歉意、悔意的語氣撰寫勒索信。
我們認為2018 年有越來越多媒體報導 SamSam 的一部份原因是由於這些變化以及 SamSam 攻擊的檔案命名更加一致。研究人員現在能更容易將攻擊追溯回 SamSam。
自 2015 年底起,SamSam 的發展鎖定兩大主要目標:第一,改進部署方法,以便對受害者造成更大影響;第二,讓攻擊更難分析,以便進一步協助保護攻擊者身分。
識別受害者?
SamSam 因為對醫療服務組織、政府和教育部門的攻擊而躍上媒體版面。不可否認的是,SamSam 攻擊了一些我們認為已是 SamSam 受害者且非常引人注目的目標組織,而遭受最多危害 (但披露最少) 的卻是私人企業。醫療服務、政府及教育部門之所以能佔據媒體版面,只是因為到目前為止,這些組織比任何私人企業更有可能公開有關 SamSam 攻擊的消息。
根據我們對勒索信中比特幣位址的研究,估計已約有 233 個受害者支付贖金給攻擊者,但我們並不知道所有受害者的身分。在本文中,我們不會提供選擇不公開攻擊資訊的那些受害者詳細資料,只會提及他們所在的國家,及其概略的產業別。
Sophos 確定 74% 的受害組織在美國。就產業方面:
•私人企業:50%
•醫療服務:26%
•政府:13%
•教育:11%
以這些受害者為基準,我們就能知道有多少攻擊是已經公開的。值得注意的是,其中許多選擇公開的組織並未明確提到 SamSam,甚至連勒索軟體都不提。許多組織往往將攻擊說成「事件」或說成一般「電腦問題」,而沒有指明其根本原因。只有透過我們的研究,並與其他安全廠商合作,我們才得以確認其為 SamSam。
公開承認是 SamSam 受害者的百分比 (依產業別):
•政府:100%
•醫療服務:78%
•教育:38%
•私人企業:0%
追蹤金錢流向
在 Sophos 對 SamSam 的調查過程中,我們找出勒索信和樣本檔案中提供的幾個比特幣位址,藉此我們得以追蹤流入這些位址的所有贖金。
但是為了進一步調查,Sophos 與 Neutrino 合作;該公司專門開發「用於監控、分析及追蹤跨多個區塊鏈的加密貨幣金流,並針對整個加密貨幣生態系統提供深入見解的解決方案」。在他們協助下,我們已能夠進一步識別 SamSam 勒索軟體攻擊中使用的比特幣位址。
總體而言,我們現在已找出 157 個已收到贖金的個別位址,以及 89 個勒索信與樣本檔案中用到,但迄今尚未收到付款的位址。根據 Neutrino,已收到付款的位址分成三個比特幣錢包,每個錢包由一個擁有者控制。自從 SamSam 攻擊開始以來,這三個相同的錢包都是攻擊者使用的。
自 2016 年起,多家安全廠商已發佈過許多 SamSam 主題的文章,而且也估計過攻擊者已獲取的贖金- 最高的估計是 850,000 美元。不幸的是,迄今所有估計都與事實有很大差距。由於 Sophos 和 Neutrino 的研究,我們現已確認真實數字超過 590 萬美元,即每月平均獲得約 30 萬美元。
找出 SamSam 的開發者/操作者
截至本文章發布之日,SamSam 背後的創造者身分仍然未知。與一些網路犯罪分子不同,SamSam 創造者並沒有在 Twitter 或黑暗網路論壇上吹噓他們的功績。正如本文的「技術詳細資訊」部分所述,他們投入了
大量精力來掩蓋蹤跡並保持匿名。根據 Sophos 的研究,並結合其他廠商提供的資訊,我們可以得到以下觀察結果:
根據勒索信、付款網站和樣本檔案之間的語言一致性,加上其犯罪知識似乎隨著時間而發展,顯示出攻擊者似乎是一個人獨自作業。而且攻擊者能夠一直不洩漏資訊並維持匿名,也進一步支持這一個論點,因為當工作牽涉多人時就很難達成隱密。
攻擊者的語言、拼字和文法顯示出他們英文程度中上,但常犯錯誤;
從文法方面也看得出來。例如,攻擊者經常將逗點後的第一個字字首大寫,彷彿逗點是句點。這個特有的錯誤出現在勒索信和攻擊者在付款網站聊天功能中內的評論中,以及「SamSam」可能是單人獨立作業的假設中。
事半功倍的時機
幾乎每一次攻擊,攻擊者都選擇在受害者時區的深夜或凌晨開始加密檔案。這種策略有點狡猾,因為此時正是受害者最容易遭受攻擊的時刻,也可能是最少使用者與系統管理員在線上會留意到攻擊的時刻。這一點對於美國東岸與西岸的受害者來說確實如此,對英國之類的其他國家受害者也是。
我們檢視了約 200 個攻擊使用的可執行檔樣本的原資料,更具體地說,在檢視了這些檔案的時間戳記之後,我們可以獲得有關攻擊者運作模式的深入見解。當然,時間戳記可以偽造。不過我們相信此處情況並非如此。
我們發現,94% 的樣本是在早上 9 點到凌晨 1 點間的 16 小時期間編譯的,剩下的 8 小時,我們認為是攻擊者的睡眠時間。
我們可以看到,攻擊者有入侵應用程式的工具套件和隨時可用於攻擊的惡意檔案。攻擊者似乎會提前幾週建立惡意軟體裝載的庫存,因此,如果防毒軟體阻擋了一個樣本,攻擊者就可以快速改用較新的樣本並繼續發動攻擊。
就大部分攻擊而言,攻擊者會使用先前成功攻擊中用過的工具和惡意檔案。
在發動攻擊時,如果有運作中的防毒軟體偵測到某些檔案,攻擊就可能中斷。如果第一波攻擊失敗了,攻擊者會改用其庫存中的不同工具和較新的惡意檔案來發動第二波攻擊。
此第二波攻擊可能會在幾小時,甚至幾天後發動。雖然這種手動的方法似乎很老舊,但確實會增加攻擊成功的機會。不過,它也為受害者提供了識別攻擊發生的機會。如果受害者透過人為干預或自動安全系統而可以對此資訊採取行動,則可能會在第二波攻擊發動之前刪除攻擊者對網路的存取權限。
總而言之,雖然我們對攻擊者作業方式多有了解並可得到一些有意思的觀察,但很清楚的是,他們已經保持匿名超過兩年半,並且有讓攻擊變得更加複雜的跡象。
如何持續受到保護
對抗這些有能力、持久又有耐心的人類敵手,與防禦企業環境中更常見的半自動化、由社交引擎推動的傳統威脅有點不同。而 SamSam 本身特別具有破壞力的行為,又讓它與其他眾多勒索軟體不同。
為了防禦 SamSam,您應該立即採取以下四個具體步驟:
- 限制連接埠 3389 (RDP) 的存取權,僅允許使用 VPN 的人員能夠遠端存取任何系統。針對 VPN 存取採用多因素驗證。
- 完成整個網路的一般弱點掃描和滲透測試。如果您尚未仔細閱讀最新的滲透測試報告,請立即閱讀。
- 對敏感的內部系統使用多因素驗證,即使針對 LAN 或 VPN 上的員工也一樣。
- 建立離機備份並保存在異地,並制定包含還原資料與整個系統的災難復原計畫。
即時網路與事件監控也是預防措施的重要一環,因為這些類型的防護網有可能捕獲並阻止進行中的入侵 (也就是可能不會立即顯示為惡意的行為)。根據我們的經驗,端點保護也很重要,但不應該是第一道防線;因為一個有反應的人類敵手會隨時準備好部署最新、獨特且專門用來繞過端點防毒的惡意軟體,這是很難突破的難題。
我們建議您也應該遵循以下這些較常見的提示以確保安全:
減少組織的威脅狀況,避免成為容易攻擊的目標。努力讓電腦維持更新,使用強式密碼、雙因素驗證,並定期安裝修補程式。
遵循最低權限原則,只賦予使用者和系統管理員完成任務所需的最低存取權限。
具備適當的安全解決方案,以便偵測進階型威脅並與您的防火牆進行通訊,以限制對受感染電腦的存取。
遵循基本安全措施,例如確定您是否希望使用者能執行 JavaScript 和 Powershell;是否需要網域管理員帳戶;鎖定每部電腦上 c$ 及其他共用的存取權;適當限制部門存取權;確認每部電腦上都沒有授權強大的系統管理工具。
監控網路並尋找異常情形。 由於 SamSam 攻擊方法採取手動的非傳統特性,表示背後有一個技巧熟練的威脅敵手對抗您的防禦措施,因此即時監控異常事件或許是真正防止傷害的唯一方式。
發生攻擊後,執行回溯分析以學習「攻擊者如何入侵」、「我有什麼損失」以及「如何確保未來不再發生」等問題的解答。 如果您現在沒有收集可能導致這些問題的資訊,將無法知道這些問題的解答。
總結
雖然到目前為止大多數受害者都在美國,但是 SamSam 的確對全球組織構成嚴重但可控制的威脅。雖然媒體報導了許多針對醫院和政府部門的備受矚目攻擊,但事實上,私人企業才是最主要目標。自從首次攻擊以來,SamSam 越來越複雜,而且越來越多產。SophosLabs 估計,攻擊者的贖金收入現在平均每月約為 30 萬美元。
SamSam 獲得空前成功的其中一個原因是攻擊者使用的工具和策略組合。透過使用 RDP 之類的合法服務和 PsExec 之類的工具,可讓攻擊者利用組織環境內的弱點,而無需建立較容易偵測到的惡意檔案。此外,攻擊者 (我們認為是一個人,但尚未證實) 在掩蓋蹤跡並使分析難以進行的方面,心思周密且非常一致。
雖然針對目標特製的攻擊比常見的射後不理惡意軟體更難防範,但我們仍有可能防禦這類攻擊。
Sophos 建議組織對網路和裝置採用多層式安全方法,既可減少組織的受攻擊面,也可減少對攻擊者的吸引力,而且在發生攻擊時,可以掌握每次機會阻擋攻擊者。安全解決方案包含會自動相互通訊以識別及回應目前威脅的系統,是保護組織的最佳方法。