SamSam ransomware
auf der Jagd im Öffentlichen-, Medizinischen- und Bildungssektor

Obwohl der größte Teil des durch Ransomware verursachten Schadens in ungezielten wahllosen Angriffen mit Hilfe von Software wie Locky und GlobaImposter geschieht, sind verheerende, sniper-ähnliche gezielte Angriffe auf dem Vormarsch.

Bei einem gezielten Angriff wählen Ganoven eine verwundbare Organisation aus und richten ihre Herangehensweise so, dass sie maximalen Schaden und Störungen verursacht. Auf diese Weise sind die Gauner in der Lage, ihre Bedeutung zu erhöhen, während sie hohe Lösegelder erpressen.

Ein beliebtes Werkzeug für Hacker, die auf diese Weise arbeiten, ist SamSam Ransomware, auch bekannt als Samas.

SamSam-Angriffe sind relativ selten und scheinen sich auf den Gesundheits-, Regierungs- und Bildungssektor zu konzentrieren. Keine zwei Angriffe sind gleich, obwohl es gemeinsame Elemente gibt. Die SamSam-Softwarekonfiguration und die Lösegeldforderungen variieren von Opfer zu Opfer und die Lösegeldforderungen betragen bis zu 60.000 US-Dollar.

Die Bitcoin-Adressen, die mit SamSam verknüpft sind, haben in diesem Jahr Lösegeldzahlungen in Höhe von über 1 Million US-Dollar erhalten.

Aufgrund der Art der Angriffe sind genaue Details selten. SophosLabs hat die jüngsten Angriffe untersucht und neue Informationen darüber entdeckt, wie sich die Ransomware in den letzten Monaten entwickelt hat. Für weitere Details lesen Sie bitte unser Whitepaper Samsam Ransomware wählt seine Ziele sorgfältig aus.

Schützen Sie Ihr Unternehmen!

Obwohl die Herangehensweise der Hacker von Ziel zu Ziel variiert und ihre spezifischen Schwachstellen ausnutzt, gibt es gemeinsame Themen, denen besondere Aufmerksamkeit zu schenken ist.

1. Schließen Sie alle Türen


SamSam-Angriffe beginnen oft damit, dass Angreifer schwache Kennwörter auf RDP-Konten ausnutzen.

  • Wenn Sie RDP nicht benötigen, deaktivieren Sie es.

  • Stellen Sie sicher, dass Benutzer starke Kennwörter haben.

  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA), wo immer Sie können.

  • Akzeptieren Sie nur RDP-Verbindungen von autorisierten Computern.

  • Legen Sie eine Sperrrichtlinie fest, um die Häufigkeit zu begrenzen, mit der Kennwörter ausprobiert werden können.

2. Schließen Sie alle Schwachstellen

Es wird auch angenommen, dass die SamSam-Angreifer Zugang zu Netzwerken von Zielen erhalten haben, indem sie Java-Deserialisierungs-Schwachstellen und ungepatchte JBoss-Systeme ausnutzen, indem sie Sicherheitslücken wie CVE-2010-0738, CVE-2012-0874 und CVE-2010-1428 nutzen.

Natürlich ist es vernünftig anzunehmen, dass die SamSam-Hacker jede öffentlich zugängliche Schwachstelle ausnutzen, die ihren Zwecken dient, so dass dies keine exklusive Liste ist - der übliche Ratschlag, auf dem Laufenden zu bleiben, gilt.

3. Halten Sie die Dinge sauber und ordentlich

Wenn ein Angreifer Zugriff auf Ihr Netzwerk erhält, ist das Aussperren des Angriffs selten eine einfache Aufgabe, eine einzelne, offensichtlich bösartige Datei zu erkennen. Viele der in SamSam-Angriffen verwendeten Tools werden genau deshalb verwendet, weil es sich um legitime Softwareteile handelt, die sich bereits in Ihrem Netzwerk befinden, z. B. PsExec, Powershell, WScript oder CScript.


Wenn Sie schon ein Sophos-Kunde sind, können Sie Application Control verwenden, um den Zugriff Ihrer Organisation auf legitime Anwendungen zu konfigurieren. So stellen Sie beispielsweise sicher, dass Administratoren, die Powershell benötigen, Zugriff darauf haben und normale Benutzer nicht.

SamSam wurde mit PsExec verwendet, um die Verbreitung in Netzwerken zu unterstützen. Standardmäßig wird PsExec von unseren Produkten als potentiell unerwünschte Anwendung (PUA) erkannt und blockiert.

Administratoren sollten sicherstellen, dass die PUA-Überprüfung aktiviert ist und dass PsExec nicht zur autorisierten Liste hinzugefügt wurde. Wenn Sie PsExec verwenden müssen, können Sie es nur für die Benutzer autorisieren, die es benötigen, und diese Autorisierung widerrufen sobald Sie fertig sind.

4. Holen Sie sich einen guten Wachhund (oder zwei)

Jede Sicherheitsebene, die Sie haben, ist für eine andere Art von Bedrohung ausgelegt, und eine Strategie der Tiefenverteidigung, die mehrere überlappende Schutzebenen verwendet, ist nach wie vor der beste Ansatz.

Sophos Endpoint and Server blockiert aktuelle Versionen von SamSam als Troj / Samas-F, Troj / RansRun-A und Mal / Kryptik-BV.

Kunden mit Intercept X oder Exploit Prevention sind durch unseren Anti-Ransomware-Schutz CryptoGuard gegen SamSam geschützt.

Für Kunden mit Central Server Advanced-Lizenzen kann Server Lockdown (allowlisting) eingesetzt werden, um Ihre Server vor nicht autorisierten Änderungen zu schützen.

Kunden, die Sophos Central in Kombination mit der XG Firewall verwenden, können die Security Heartbeat ™ -Funktion verwenden, die es Ihren Endpunkten ermöglicht, mit Ihrer Firewall zu kommunizieren und Richtlinien zu erstellen, die automatisch eine Maschine isolieren, wenn eine Erkennung gemeldet wird.