SamSamランサムウェア
マルウェアは、個人と組織の両方にとって、依然として最も差し迫った脅威の一つです。サイバー犯罪者は絶えず革新を続け、脆弱性を悪用して機密データへの不正アクセスを目的とした新たな攻撃戦略を開発しています。こうした脅威の中でも、SamSamランサムウェアは特に危険なランサムウェアとして際立っており、その主な理由は、一般的なフィッシングベースの感染手法とは異なる点です。システムの安全を確保するには、SamSamランサムウェアの仕組みを理解し、強力なセキュリティ対策を講じることが不可欠です。
目次
SamSam ランサムウェアとは何ですか?
SamSamランサムウェア(別名SamasまたはSamsamCrypt)は、2015年末から2016年初頭にかけて初めて検出され、医療、運輸、教育、地方自治体などの重要セクターを標的とした攻撃で急速に悪名を高めました。ソーシャルエンジニアリング戦術に依存する一般的なランサムウェア攻撃とは異なり、SamSamはネットワークへの直接的なエクスプロイトを悪用します。
当初は東ヨーロッパで発生したと考えられていましたが、その後の捜査でこのマルウェアはイランのサイバー犯罪者と関連していることが判明し、2018年に2人が起訴されました。その影響は世界中に及び、米国、英国、フランス、ポルトガル、オーストラリア、カナダ、中東での攻撃が記録されています。
悪名高い攻撃キャンペーン
コロラド州運輸局
2018年2月、コロラド州運輸局は、SamSamによるシステム暗号化とビットコインでの支払い要求により、大きな混乱に直面しました。これを拒否したコロラド州運輸局は、復旧作業に推定170万ドルを費やしました。
アトランタ地方自治体
2018年3月、アトランタ市はリモートデスクトッププロトコル(RDP)へのブルートフォース攻撃を通じたSamSam攻撃によって機能不全に陥りました。公共サービスから裁判所システムに至るまで、幅広いサービスが影響を受けました。攻撃者はビットコインで5万1000ドルの支払いを要求しましたが、市はこれを拒否し、最終的に復旧作業に270万ドルを費やしました。
ヘルスケアセクターの打撃
SamSamは特に医療業界を悩ませ、Allied Physicians of Michiana、Hancock Health、Allscriptsなどが被害に遭いました。2018年だけでも、既知のSamSam攻撃の4分の1が医療業界を標的としていました。
SamSam ランサムウェアはどのように動作するのでしょうか?
フィッシングメールや悪意のある添付ファイルを介して拡散するランサムウェアとは異なり、SamSamは脆弱なシステムと盗まれた認証情報を悪用します。サイバーセキュリティ・インフラセキュリティ庁(CISA)によると、攻撃者はWindowsサーバーの脆弱性を悪用し、以下の方法でリモートアクセスを取得します。
- 露出している、またはパッチが適用されていないRDP接続
- 購入またはブルートフォース攻撃によるログイン認証情報
侵入に成功すると、攻撃者は権限を昇格させ、マルウェアを手動で展開し、重要なファイルを暗号化します。この実践的なアプローチにより、侵入したネットワーク内で正確な標的を定め、広範囲に被害を与えることができます。
身代金要求書と支払い戦術
SamSamの攻撃者は暗号化を完了すると、被害者にTorベースのポータル経由で通信するよう指示する身代金要求メモを残します。身代金はビットコインで要求され、支払い後に復号鍵を受け取った被害者もいますが、攻撃者が合意を守る保証はありません。
SamSam はまだ脅威ですか?
2018年以降、公表された攻撃は減少し、主要な攻撃者は逮捕されましたが、このランサムウェアが根絶されたという証拠はありません。公式の復号ツールも存在しないため、SamSamは依然として脅威として認識されるべきです。
防御を強化する:セキュリティのベストプラクティス
SamSamの感染を防ぐには、SamSamが悪用する脆弱性を解消することに重点を置いた、積極的なセキュリティ戦略が必要です。すべての組織が実施すべき重要な手順を以下に示します。
- RDP アクセスの保護と監査
- 必要ない場合は RDP を無効にします。
- 必要な RDP サービスについては、強力な認証を適用し、信頼できる IP アドレスへのアクセスを制限します。
- 最新のセキュリティ パッチを速やかに適用して、悪用される可能性のある欠陥を排除します。
- 最小権限の原則を強制する
- ユーザーの権限を必須機能のみに制限します。
- ロールベースのアクセス制御を使用して、侵害された単一のアカウントによる広範囲にわたる被害を防ぎます。
- 強力なパスワードと認証ポリシーを採用する
- 強力なパスワード戦略には次の内容を含める必要があります。
- 大文字と小文字、数字、特殊文字の組み合わせ。
- 定期的なパスワードの変更と再利用の禁止。
- 避けるべきよくある間違い:
- 資格情報を他のユーザーと共有します。
- 多要素認証 (MFA) を無効にします。
- 安全でないファイルにパスワードを保存する。
- 定期的なバックアップを維持する
- バックアップをオフラインまたはセグメント化されたネットワーク上に保存します。
- 復元手順の有効性を確認するために定期的にテストします。
最後に
SamSamランサムウェアは、ランサムウェア攻撃が必ずしもユーザーを騙すだけでなく、技術的な弱点を突くことも多いことを改めて認識させてくれます。RDP接続のセキュリティ確保、強力な認証対策の実施、適切なバックアップの維持を怠る組織は、新たな脅威にさらされるリスクがあります。常に警戒を怠らず、多層的なセキュリティ対策と、十分な教育を受けた従業員こそが、進化するサイバー脅威に対する最善の防御策と言えるでしょう。
メッセージ
SamSamランサムウェア に関連する次のメッセージが見つかりました:
|
What happened to your files? All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption” How to recover files? RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key. How to get private key? You can get your private key in 3 easy steps: 1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs. 2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment 3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered With buying the first key you will find that we are honest |
