標的型ランサムウェア
ランサムウェアがシステムに感染するための従来の方法は、ドライブバイダウンロードや悪質なスパムメール経由で配布される悪質なダウンローダです。ユーザーが悪質なダウンローダに感染すると、それによりマルウェアがダウンロードされ、多くの場合はそれらに暗号化型ランサムウェアが含まれています。悪質な電子メールにはさまざまなファイルが添付されていて、これを開いた場合、多くのランサムウェアはいずれかの亜種をダウンロードして実行し、暗号化プロセスを開始します。ファイルが暗号化された後、ファイルを復号するには代金を支払うよう被害者に要求します。
Samsam は、従来のランサムウェアとは異なり、ドライブバイダウンロードや電子メール経由では配信されません。代わりに、Samsam の背後にいる攻撃者は、
Jexboss などのツールを使用して、Red Hat の JBoss エンタープライズ製品を実行しているパッチ未適用のサーバを特定します。
攻撃者は JBoss の脆弱性を悪用してこれらのサーバのいずれかへの侵入に成功すると、無料で手に入る他のツールやスクリプトを使用して、ネットワークに接続されているコンピュータから資格情報などの情報を収集します。次に、ランサムウェアを実行してこれらのシステム上のファイルを暗号化してから代金を要求します。
また、Samsam ランサムウェアは、攻撃者が RSA 鍵ペアを自身で生成するという点についても他のランサムウェアとは異なります。ほとんどの暗号化型ランサムウェアは、コマンドアンドコントロールサーバと通信します。このサーバが RSA 鍵ペアを生成し、感染したコンピュータでファイルを暗号化するための公開鍵を返送します。Samsam では、攻撃者が鍵ペアを生成し、公開鍵をランサムウェアとともに、標的となるコンピュータにアップロードします。