כופרה חדשה המנצלת חשיפות ב RDP

16/08/2018

כופרה בשם SamSam שונה מצורות מוכרות של ransomware. בעוד גרסאות אחרות נשלחות לקורבנות פוטנציאליים בדוא"ל, התקפות SamSam מנצלות חשיפות בגישה ב RDP – בין אם על ידי התקפות BRUTE FORCE, או CREDENTIALS שנרכשו ב DARK WEB.

לאחר חדירה למכונה שאינה מוקשחת היטב, התוקפים מחפשים פגיעויות שהם מנצלים כדי להפיץ את הקוד ברשת הפנימית של הארגון לפני הצפנת קבצים.

ברגע שיש לתוקפים אחיזה ברשת הם מבצעים את ההצפנה של מספר משמעותי של מכונות ודורושים תשלום כופר ב bitcoin בתמורה למפתחות פענוח. התשלומים יכולים להגיע  אל מעל 50,000 דולר.

SamSam דורש יכולות גבוהות יותר מהתוקפים לעומת צורות אחרות של ransomware, אבל הזמן והמאמץ משתלם עבור נוכלים - חוקרים ב Sophos ניתחו תשלומים שבוצעו לתוך ארנקי bitcoin בבעלות התוקפים ומצאו שהם קיבלו כבר כ 5.9 מיליון דולר.

המסקנה המיידית היא לצמצם את השימוש ב RDP ובמקרים בהם הוא נדרש לבצע הקשחות כמו:

  • לאפשר גישה רק מכתובות ספציפיות
  • להוסיך MFA בהזדהות
  • להקשיח את המכונה ברמת מערכת ההפעלה