Port of San Diego Ransomware Attack: Aftermath of the Lowdown SamSam Malware

2018年9月25日、米国サンディエゴ港がSamSam Ransomwareを使った深刻なサイバー攻撃を受けました。 2015年12月以来すでに200以上の公的機関および民間組織に感染している悪名高いマルウェアは、Portの日々の運用に深刻な課題を投げかけています。それにもかかわらず、これらの挑戦は港を一瞬閉鎖させることにはなりませんでした。港湾当局者も身代金を払っておらず、最近の更新で彼らがいかにして船を浮揚させることに成功したかが示された。

適切な予防は不可欠です

サンディエゴ港はその二重の役割のために米国の海上インフラの重要な部分です。それは何よりも商業貨物とクルーズ船を提供していますが、必要であれば港は国防総省の指揮の下で軍事施設を回すこともできます。 SamSamが攻撃する前に、ランサムウェアの脅威に対処するためのFBIの勧告によって、港湾当局が電子バックアップシステムを開発したことはほとんど驚くことではありません。要求された身代金を提供しなくても、港湾関係者が暗号化のために失ったデータを復元することを可能にしたのは、そのバックアップシステムでした。

定期的なバックアップに加えて、SamSamランサムウェア攻撃の影響を最小限に抑えるために従業員が行ったことがいくつかありました。まず最初に、彼らは次のことを確認しました。

• ネットワーク内のすべてのコンピュータをシャットダウンします。
• 交換用のPCや代替システムを使用してください。
• 電子メールの添付ファイルを交換して感染を封じ込めることを禁止します。

さらに、SamSam Ransomware感染は、港湾当局が彼らのネットワークシステムのセキュリティを強化して、それらをあらゆる種類のサイバー攻撃から保護することを目的としたキャンペーンを開始した後に発生したようです。当時は未完成でしたが、彼らが事前に始めた準備はSamSamに耐えるのに十分であることが証明されました。

運の一撃

見たところでは、サンディエゴ港の管理委員は、一連の正しい決断をすることによって、ランサムウェアの嵐を乗り切ることができました。しかし、その成功の一因はSamSamランサムウェア自体とその背後にあるマルウェア関係者によるものです。なぜなら、彼らは運用データではなく管理データの収集に焦点を当てていたからです。そのため、この攻撃でドックでの日常業務が停止されることはなく、一部の公共サービスおよびビジネスサービスが短期間中断されるだけでした。攻撃のシナリオが異なれば、別の、はるかに好ましくない結果がもたらされる可能性があります。

これまでにない財務省とFBIの対応

全国的に病院、教育機関、企業、および主要な政府機関に対する攻撃でSamSamランサムウェアが広く普及したため、FBIは厄介なクリプトウイルスの犯罪捜査を開始するよう求められました。法務省と財務省の支援を受けて、この調査はSamSamランサムウェアの起源をイランのサイバーギャングまで捜し出しました。それはSamSam犠牲者からのbitcoinを強要することに責任があるギャングです. しかし、ギャングは伝えられるところによれば2人の個人 - Mohammad GhorbaniyanとAli Khorashadizadeh - に頼ってBTCの蓄積された財産をイランリアルに変えました。財務省によると、2人の「ファシリテーター」は2つのBitcoinアドレスを使って仕事をしました。

• アドレス1：149w62rY42aZBox8fGcmqNsXUzSStKeq8C。
• アドレス2：1AjZPMsnmpdK2Rv9KQNfMurTXinscVro9V。

ここ5年ほどで、KhorashadizadehとGhorbaniyanは単独で上記の2つのアドレスから6000 BTCを交換しました。卒業生の総計の特定の部分は、SamSamランサムウェア以外に由来しません。

サンディエゴ港に対する一斉攻撃とその好結果は、結局のところ、あらゆる組織がサイバー犯罪業界との日々の戦いにおいて適切な予防策を講じる必要性を強調しています。後者のためにすぐに減速の兆候を示していません。