SamSam 預示了目標式攻擊勒索軟體的新趨勢

安全主題

SamSam 預示了目標式攻擊勒索軟體的新趨勢

一款新的加密勒索軟體變種可能暗示它將使用加密其檔案的惡意程式轉而攻擊企業。

涉及勒索軟體的資安事端愈來愈多

美國聯邦調查局 (FBI) 聯合 US-CERT 與加拿大網路資安事端應變中心 (CCIRC) 發佈警告，稱涉及勒索軟體的資安事端愈來愈多。

在 2016 年 2 月，賽門鐵克強調了 Locky 勒索軟體的增加，這是流通中比較盛行的一種勒索軟體變種。過去幾個月，由於採用目標式方法感染系統，新變種 Samsam (也稱為 Samas 或 Samsa) 登上了報紙頭條。

勒索軟體

目標式勒索軟體

勒索軟體感染系統的傳統方法是透過偷渡下載與惡意垃圾電子郵件散播的惡意下載程式。使用者感染惡意下載程式之後，就會下載其他惡意程式，而這些惡意程式往往包含加密勒索軟體。惡意電子郵件含有各種檔案附件，若是開啟這些附件，將下載與執行其中一種勒索軟體變種，以開始加密程序。檔案被加密後，受害者就會被要求支付贖金，才能解密檔案。

Samsam 與較為傳統的勒索軟體不同，此程式不是透過偷渡下載或電子郵件傳送的。相反，隱藏在 Samsam 背後的攻擊者使用 Jexboss 等工具來找出未更新修補程式且執行 Red Hat 的 JBoss 企業產品的伺服器。

攻擊者利用 JBoss 的漏洞成功進入其中一台伺服器後，將使用其他自由可用的工具與程序檔來蒐集憑證，並收集已連接網路的電腦之資訊。然後他們會利用勒索軟體加密這些系統上的檔案，然後勒索贖金。

Samsam 勒索軟體也不同於其他勒索軟體，因為攻擊者會自行產生 RSA 金鑰組。大部分的加密勒索軟體會連絡指令與控制伺服器，以產生 RSA 金鑰組，並發回公開金鑰，以便加密受感染電腦上的檔案。攻擊者利用 Samsam 產生金組對並上傳公開金鑰與勒索軟體至目標電腦。

勒索軟體的持續創新

勒索軟體的變種正在不斷增加之中，Samsam 是其中一種，但是此程式的與眾不同之處是它能夠透過未更新修補程式的伺服器端軟體來接觸預期目標。重點是，犯罪趨勢越來越嚴峻，他們在勒索攻擊中會直接鎖定企業。近期的攻擊已大有斬獲，這表明網路罪犯改變了方式，因為他們想要透過攻擊脆弱的企業獲取最高的利潤。

事實證明，勒索軟體是一種可行的商業模式，難怪使用的技巧會從惡意垃圾郵件與偷渡下載變為更類似於目標式攻擊的方式。

JBoss 的版本

在其環境中部署了 JBoss 企業產品的企業應進行檢查，查看他們是否執行了未更新修補程式的版本，如果是，請立即修補。根據 Red Hat，以下版本的 JBoss 及更新版本不受影響：