Вымогатель Samas (SamSam), появившийся около года назад, использует легальный инструментарий и опрашивает Active Directory, чтобы выявить рабочие станции и сервера, подлежащие заражению. Таким образом зловред, имеющий признаки шифровальщика и червя, способен заразить всю сеть. Для проникновения SamSam использует легитимные инструменты для пентестинга, затрудняя детектирование.

Первые громкие атаки с использованием SamSam зарегистрированы в марте прошлого года. К декабрю 2016 года операторы вымогателя выручили $450 тыс., в основном за счет атак на учреждения здравоохранения, которым приходилось платить выкуп из-за критичности зашифрованной информации.

В отличие от вымогателей, шифрующих локально расположенные файлы, SamSam передвигается по сети, попутно заражая каждый компьютер и сервер. Сначала злоумышленники похищают учетные данные домена, затем опрашивают Active Directory в поисках пригодных для атаки точек, в процессе передвигаясь по сети. По словам исследователей из Javelin Networks, для проникновения в сеть и последующего похищения учетных данных операторы вымогателя эксплуатируют уязвимость обхода аутентификации в консоли JBoss JMX-Console (CVE-2010-0738).

Способность зловреда посылать пинг по корпоративной сети через опрос Active Directory делает его очень эффективным. «Active Directory — это, по сути, база данных, содержащая все сведения о пользователях, конечных точках, приложениях и серверах. Используя утилиту командной строки CSVDE в Windows, злоумышленники могут незаметно получать все необходимые сведения, не привлекая внимания», — рассказывают исследователи.

Так как используемая утилита популярна среди системных администраторов, вредоносная активность может оставаться незамеченной, пока червь-шифровальщик не поразит всю сеть организации. Для атакуемой компании последствия могут быть поистине масштабными.

По сведениям экспертов, SamSam пока орудует в США, но несколько компаний в Европе и Азии также пострадали от действий шифровальщика.

Категории: Аналитика, Вредоносные программы, Главное