รู้จักกับ Ransomware ตัวใหม่ที่ร้ายกว่าเดิมในชื่อ SamSam

SamSam

รู้จักกับ Ransomware ตัวใหม่ที่ร้ายกว่าเดิมในชื่อ SamSam

รู้จักกับ Ransomware ตัวใหม่ที่ร้ายกว่าเดิมในชื่อ SamSam

.

หลายคนคงเคยได้ยินเรื่อง Ransomware ที่มิจฉาชีพปล่อย malware ที่สามารถปิดกั้นการเข้าถึงไฟล์ต่างๆ และขู่เรียกเงินจากผู้ใช้งานเพื่อแลกเปลี่ยนกับการเข้าถึงไฟล์เหล่านั้น ในปัจจุบันมี Ransomware รูปแบบใหม่ที่อันตรายกว่าเดิม เรียกว่า SamSam Ransomware

Sophos บริษัทผู้ผลิต firewall และอุปกรณ์ด้าน cyber security อื่นๆ ได้ทำการวิจัยเกี่ยวกับการโจมตีนี้ และนี่คือข้อมูลที่น่าสนใจเกี่ยวกับ SamSam Ransomware

SamSam Ransomware เริ่มต้นขึ้นในปลายปี 2015 คาดว่าเริ่มโดยนักจารกรรมไซเบอร์ชาวอิหร่าน 2 คน Mohammad Mehdi Shah Mansouri และ Faramarz Shahi Savandi (ซึ่งปัจจุบันทั้งสองคนกำลังถูกตามล่าโดย FBI อยู่) และ Ransomware ได้เข้าไปโจมตี computer network ของบริษัทต่างๆ ในสหรัฐ และประเทศอื่นๆ ทั่วโลก จนถึงปัจจุบันมันกวาดเงินไปแล้วมากกว่า 180 ล้านบาท

SamSam Ransomwar

จุดเด่นของ SamSam ที่ต่างจาก Ransomeware ตัวอื่นๆ คือ มันไม่ได้ปิดกั้นการเข้าถึงเฉพาะไฟล์สำคัญ แต่ยังปิดกั้นไม่ให้แอปพลิเคชั่นต่างๆ ทำงาน ทำให้ผู้ใช้ไม่สามารถกู้คืนไฟล์ที่แบ็คอัพเอาไว้ได้ ผู้ใช้ต้อง reimage disk จากนั้นก็ต้อง restore แอปพลิเคชั่นต่างๆ หลังจากนั้นจึงกู้คืนไฟล์ที่แบ็คอัพเอาไว้

มิจฉาชีพจะพุ่งเป้าไปที่บริษัทขนาดใหญ่ ที่มีคอมพิวเตอร์ใน network จำนวนมาก เพราะบริษัทเหล่านี้มีเงินมากพอที่จะจ่าย และบริษัทเหล่านั้นไม่กล้าเสี่ยงที่จะเกิด downtime กับคอมพิวเตอร์ต่างๆ ใน network เพราะจะส่งผลกระทบกับลูกค้า เพราะการแก้ไขปัญหาต่อหนึ่งเครื่องนั้นใช้เวลาประมาณหนึ่งชั่วโมง ในหน่วยงานขนาดใหญ่ที่มีคอมพิวเตอร์เป็นร้อยเครื่องพันเครื่อง กว่าจะกู้ข้อมูลทีละเครื่องๆ สำเร็จก็คงไม่ทันการ เลยต้องยอมจ่ายเงินให้แฮคเกอร์ในที่สุด

SamSam Ransomwar

พอมิจฉาชีพสามารถเข้ารหัสไฟล์สำคัญ เช่นเดียวกับแอปพลิเคชั่นต่างๆ ได้แล้ว มันจะส่ง url .onion มาให้เรา เพื่อให้เราเข้าไปแชทกับมันใน dark web และโอนเงินเป็น bitcoin เพื่อไม่ให้เกิดหลักฐานให้เจ้าหน้าที่รัฐตามตัวเจอ

SamSam Ransomwar

ทาง Sophos ได้แนะนำวิธีป้องกันการโจมตีแบบ SamSam ไว้ดังนี้

  1. ปิดกั้นการเข้าถึง RDP (3389/tcp) จากข้างนอก Firewall (ไม่นับรวม VPN)
  2. สร้าง password policy ที่ซับซ้อนและแข็งแกร่ง – เช่น ต้องมีการ verify ในทุกๆ ขั้นตอน และทำ multifactor authentication
  3. ทำการสำรวจและประเมินค่า network ของตัวเองสม่ำเสมอ – เริ่มจากการดู shodan และ Censys ก่อน จากนั้นก็ให้ identify พอร์ทและ protocol ที่เข้าถึงได้จากสาธารณะ
  4. Patch จุดอ่อนในระบบรักษาความปลอดภัยตลอดเวลา

 

ตอนนี้ทาง Sophos กำลังติดตามคดีนี้ และในทำวิจัยเรื่องนี้ใน SophosLabs เพื่อหาทางต่อสู้กับ Malware และ Ransomware ต่างๆ ต่อไป

__________________________
ถ้าท่านใดสนใจทดสอบ ติดต่อสอบถามรายละเอียดได้ที่
💻 : www.firewallhub.com
☎ : 02-392-3608
📱 : [email protected]

Line: @monsterconnect

Monster Connect
Monster Connect