วิธีหยุดแฮ็กเกอร์ 'SamSam' ของอิหร่านไม่ให้ใช้เครือข่ายของคุณเพื่อเรียกค่าไถ่

By Yaron Kassner, CTO และผู้ร่วมก่อตั้ง Silverfort

SamSam – ฟังดูน่ารักใช่ไหมล่ะ? มันไม่ใช่ SamSam เป็นตัวทำลายล้าง ransomware ซึ่งส่งผลกระทบต่อเหยื่อมากกว่า 200 รายทั่วสหรัฐอเมริกา รวมถึงโรงพยาบาล รัฐบาลเมือง และองค์กรอื่น ๆ ในปี 2018 เมื่อวันที่ 28 พฤศจิกายน กระทรวงยุติธรรมของสหรัฐอเมริกาได้ตั้งข้อหาชาวอิหร่านสองคนในความผิดฐานแฮ็กคอมพิวเตอร์ที่เกี่ยวข้องกับการระบาดของแรนซัมแวร์ SamSam ทั่วโลก ผู้ต้องหาอาชญากรขณะนี้อยู่ในอิหร่าน ซึ่งอยู่นอกเหนือการควบคุมของหน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกา และฉันสงสัยว่าผู้ต้องสงสัยทั้งสองจะเดินทางไปสหรัฐอเมริกาเพื่อเผชิญการซักถาม ฉันยังสงสัยว่าการโจมตีเหล่านี้จะหยุดลง ดังนั้น สิ่งสำคัญคือต้องเข้าใจว่าการโจมตีนี้ทำงานอย่างไรและใช้มาตรการป้องกันบางอย่าง

ประนีประนอมจุดสิ้นสุดแรก

SamSam กำหนดเป้าหมายคอมพิวเตอร์ที่เปิดเดสก์ท็อประยะไกลจากอินเทอร์เน็ต การค้นหาจุดสิ้นสุดนั้นง่ายมาก: เครื่องมือฟรีเช่น Shodan สามารถให้รายชื่อเครื่องดังกล่าวได้ ณ วันนี้ มีบันทึก 2,475,311 รายการของเดสก์ท็อประยะไกลที่เปิดสู่อินเทอร์เน็ตใน Shodan รหัสผ่านไปยังเดสก์ท็อปเหล่านี้สามารถถูกแฮ็คด้วยการโจมตีแบบเดรัจฉานหรือเพียงแค่ซื้อจากเว็บมืด การใช้สภาพแวดล้อมระบบคลาวด์ที่เพิ่มขึ้นทำให้องค์กรต่างๆ ตกอยู่ในความเสี่ยง เนื่องจากผู้ดูแลระบบที่ประมาทอาจเปิดเผยเครื่องในระบบคลาวด์ได้อย่างง่ายดายโดยไม่ได้ป้องกันการเข้าถึงจากอินเทอร์เน็ต

ก้าวลึกเข้าไปในเครือข่าย

SamSam ไม่เพียงแค่เข้ารหัสไฟล์ของเครื่องปลายทางที่ติดไวรัสเพียงเครื่องเดียว เมื่อจุดสิ้นสุดถูกบุกรุก SamSam จะใช้ข้อมูลประจำตัวที่ถูกขโมยและใช้ประโยชน์จากช่องโหว่ต่างๆ เช่น EternalBlue เพื่อย้ายข้ามเครือข่ายในแนวขวาง มันใช้ "เทคนิคการป้อนดิน" เช่นเครื่องมือการจัดการที่มีอยู่ สิ่งนี้ทำให้แรนซัมแวร์สามารถเข้าถึงเซิร์ฟเวอร์ที่มีค่ามากกว่าซึ่งเก็บข้อมูลที่มีค่ามากกว่า แทนที่จะจับคอมพิวเตอร์เครื่องเดียวเป็นตัวประกัน กลับเข้าควบคุมเครือข่ายทั้งหมด

การสำรองข้อมูลมักถูกมองว่าเป็นกลไกป้องกัน การป้องกันแรนซัมแวร์. อย่างไรก็ตาม ความสามารถในการย้ายไปด้านข้างในเครือข่ายยังช่วยให้ SamSam เข้าถึงข้อมูลสำรองเหล่านี้และทำให้ไร้ประโยชน์ เหยื่อที่ถูกเข้ารหัสข้อมูลสำรองจะต้องจ่ายค่าไถ่หรือสูญเสียข้อมูล

ค่าใช้จ่ายของ SamSam Mitigation เกินกว่าค่าไถ่

จนถึงตอนนี้ แฮ็กเกอร์เรียกค่าไถ่ได้มากกว่า 6 ล้านดอลลาร์ อย่างไรก็ตาม ค่าใช้จ่ายสำหรับองค์กรที่ได้รับผลกระทบนั้นสูงกว่ามาก เพราะหลังจากจ่ายค่าไถ่และปลดล็อคไฟล์แล้ว พวกเขายังต้องตรวจสอบให้แน่ใจว่าภัยคุกคามนั้นถูกลบออกจากเครือข่ายอย่างสมบูรณ์แล้ว เมื่อเมืองแอตแลนตาติดไวรัส พวกเขาใช้เงินทั้งหมด 17 ล้านดอลลาร์เพื่อพยายามแก้ไขเหตุการณ์ แม้ว่าค่าไถ่ที่ขอจะต่ำกว่านั้นมากก็ตาม
นอกจากค่าไถ่แล้ว ยังมีค่าใช้จ่ายที่ชัดเจนของการหยุดทำงานจนกว่าภัยคุกคามจะถูกลบออก บางทีนั่นอาจเป็นสาเหตุหนึ่งที่มัลแวร์โจมตีผู้ให้บริการด้านการแพทย์จำนวนมาก พวกเขาไม่สามารถลดจำนวนลงได้

จะปกป้ององค์กรของคุณจาก SamSam Ransomware ได้อย่างไร

• • สำรองข้อมูลของคุณแบบออฟไลน์: หากคุณต้องการใช้การสำรองข้อมูลเพื่อช่วยคุณจากแรนซัมแวร์ คุณต้องแน่ใจว่าผู้โจมตีจะไม่เข้าถึงข้อมูลสำรองของคุณเช่นกัน โปรดทราบว่าการบันทึกข้อมูลสำรองของคุณในเครือข่าย หมายความว่าข้อมูลเหล่านั้นอาจได้รับแรนซัมแวร์มากพอๆ กับข้อมูลอื่นๆ ในเครือข่าย
  • ระบุเซิร์ฟเวอร์เดสก์ท็อประยะไกลที่เปิดเผยผ่านอินเทอร์เน็ต: ค้นหาวิธีค้นพบเดสก์ท็อประยะไกลที่เปิดเผยผ่านอินเทอร์เน็ต เดสก์ท็อประยะไกลที่เปิดเผยจะถูกโจมตีด้วยกำลังดุร้ายภายในไม่กี่ชั่วโมงหลังจากถูกเปิดเผยทางอินเทอร์เน็ต ดังนั้น วิธีที่ดีในการระบุเดสก์ท็อประยะไกลที่เปิดเผยอินเทอร์เน็ตคือการมองหาการโจมตีแบบเดรัจฉาน Silverfort สามารถช่วยให้คุณทำเช่นนั้นได้
  • ป้องกันการเข้าถึง RDP โดยการบังคับใช้ การรับรองความถูกต้องหลายปัจจัย – หากคุณต้องเปิดเผยเดสก์ท็อประยะไกลกับอินเทอร์เน็ต ให้ใช้ VPN หรือโฮสต์ป้อมปราการ สิ่งเหล่านี้ป้องกันการเข้าถึงเครือข่ายโดยตรงไปยังเครื่อง แต่ใช้รหัสผ่าน การรับรอง ยังไม่เพียงพอ คุณควรเพิ่ม MFA เพื่อตรวจสอบว่าข้อมูลประจำตัวนั้นถูกใช้โดยผู้ใช้ที่ถูกต้องตามกฎหมายหรือไม่ Silverfort ช่วยให้คุณสามารถเพิ่ม MFA ในระบบเหล่านี้โดยไม่ต้องใช้ตัวแทนใดๆ
  • ป้องกันการเคลื่อนไหวด้านข้าง - การบังคับใช้ MFA ในการใช้เครื่องมือการดูแลระบบ เช่น PSExec สามารถป้องกันการโจมตีดังกล่าวได้อย่างมีประสิทธิภาพ อย่างไรก็ตาม ไม่สามารถใช้โซลูชัน MFA แบบดั้งเดิมกับเครื่องมือดังกล่าวได้ Silverfort's MFA ไร้ตัวแทน แพลตฟอร์มสามารถขยายไปยังเครื่องมือเหล่านี้ได้อย่างง่ายดายเช่นกัน
  • ปกป้องการเข้าถึงข้อมูลที่ละเอียดอ่อนของคุณ – บังคับใช้ MFA สำหรับการเข้าถึงทรัพยากรที่ละเอียดอ่อน รวมถึงฐานข้อมูลและการแชร์ไฟล์

Yaron Kassner, CTO และผู้ร่วมก่อตั้ง Silverfort

SilverfortCTO และผู้ร่วมก่อตั้งของ Yaron Kassner เป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และเทคโนโลยีข้อมูลขนาดใหญ่ ก่อนร่วมก่อตั้ง SilverfortYaron ทำหน้าที่เป็นที่ปรึกษาผู้เชี่ยวชาญด้านข้อมูลขนาดใหญ่สำหรับ Cisco เขายังได้พัฒนาความสามารถใหม่เกี่ยวกับการวิเคราะห์ข้อมูลขนาดใหญ่และอัลกอริทึมการเรียนรู้ของเครื่องที่ Microsoft ก่อนหน้านั้น Yaron ทำหน้าที่ในหน่วยไซเบอร์ชั้นยอด 8200 ของกองกำลังป้องกันประเทศอิสราเอล ซึ่งเขาเป็นผู้นำทีมวิจัยและพัฒนาที่มีชื่อเสียง เลื่อนยศเป็นร้อยเอก และได้รับรางวัลความเป็นเลิศอันทรงเกียรติ Yaron สำเร็จการศึกษาระดับปริญญาตรี สาขาคณิตศาสตร์ Summa Cum Laude, วท.ม. และปริญญาเอก สาขาวิทยาการคอมพิวเตอร์จาก Technion – Israel Institute of Technology

หากต้องการทราบวิธีการ Silverfort สามารถปกป้ององค์กรของคุณจาก SamSam และภัยคุกคามอื่นๆ ติดต่อเราวันนี้.