勒索軟件普遍會加密受害人常用的檔案以換取贖金,但 Sophos 一項研究顯示,於 2015 年面世的勒索軟件 SamSam 除會攻擊工作數據檔案之外,還會令那些不會影響 Windows 運行的程式無法運作。
會用人手發動攻擊
Sophos 剛發表了名為《SamSam: The (Almost) Six Million Dollar Ransomware》之白皮書,發現SamSam 與其他大部分勒索軟件不同,屬於全面的加密工具,除了工作數據檔案之外,還會令那些不會影響 Windows 運行的程式無法運作,而這些程式一般都不會有例行備份。
報告又指 SamSam 的獨特之處在於以人手發動攻擊,故黑客有需要時可作出相應行動以躲避安全工具的偵測。假如數據加密過程受到干擾,這款惡意軟件甚至能夠即時徹底清除任何自身痕跡,妨礙偵查。此外,若企業要回復運作,或需要重載檔案鏡像或重新安裝軟件,亦要還原備份,使許多受害者都無法及時復原系統以維持業務運作,結果唯有就範,支付贖金。
已賺取超過 590 萬美元贖金
白皮書亦發發現,74% 的已知 SamSam 受害者來自美國,其餘受攻擊地區亦包括澳洲 (2%)、印度 (1%)、中東 (1%)、加拿大 (5%),以及英國 (8%)。除此之外,Sophos 透過追蹤支付到黑客已知錢包位址的 Bitcoin款項,計算出 SamSam 已經賺取了超過五百九十萬美元贖金,而非如先前市場所知的八萬五千美元。
企業宜建立場外備份
Sophos 建議,企業應限制任何人連接 3389 埠 (即預設RDP埠),只容許使用 VPN 的員工遙距儲存系統,而VPN 儲存亦同時要求多重認證。此外,企業亦應為整個網絡定時執行漏洞掃描和滲透測試。倘若企業未曾跟進新近的滲透測試報告,現在便應馬上進行。
他們亦提醒企業要為所有敏感的內部系統啟動多重認證,並要建立離線的場外備份,制訂涵蓋修復數據與整個系統的災難復原計畫。