AURIGA SECURITY, INC.
  • HOME
  • NEWS & EVENTS
  • BLOG
  • Contact Us
  • WE WANT YOU !

SAMSAM RANSOMWARE HITS CITY OF ATLANTA IT SYSTEMS

3/26/2018

0 Comments

 
Picture
有針對性攻擊的 Samsam 第ㄧ次是在2016年左右首次出現,它瞄準了醫療保健行業並且是一個很典型的勒索軟體,受害者通過點擊惡意鏈接,email 附件或惡意廣告進行感染。 因為 Samsam 直接使用 Red Hat's JBoss產品中的漏洞感染伺服器,所以變得獨一無二。駭客使用 JexBoss:一個開放原始碼滲透測試工具等其他工具來識別 JBoss 伺服器中未修補的漏洞。一旦駭客滲透其中一台伺服器,他們會將 Samsam 安裝到目標中的 Web 應用程序伺服器上,並將勒索軟件客戶端散播到Windows 設備並對其文件進行加密。

至 2016 年 4 月底,Samsam 已目標攻擊至少 58 個組織,包括醫療保健行業。 MedStar Health 是一家 50 億美元的醫療服務朱組織,在馬里蘭州和華盛頓特區擁有 10 家醫院,員工超過 30,000 人,是第一個受到攻擊並被勒鎖 45 比特幣或18,500美元贖金的公司之一。儘管所有營運都被迫停止,但很幸運的,MedStar不需付贖金。除 MedStar 之外,洛杉磯的好萊塢長老會醫療中心遭到駭客攻擊並且支付了將近 17,000 美元的贖金,德國的兩家醫療​​機構及肯塔基州Henderson 的衛理公會醫院也遭到了攻擊。

2018 年 3 月 23 日星期五,亞特蘭大市發布了以下信息:
亞特蘭大市目前正面臨著各種客戶使用的應用程序的停機問題,其中包括一些客戶可能用來支付賬單或與法院有關的信息。我們將會發布任何更新訊息。

— City of Atlanta, GA (@Cityofatlanta) March 22, 2018
Picture
接下來是新聞發表會:
市長 @KeishaBottoms 針對安全漏洞招開新聞發表會. https://t.co/h1WlcyUc6x
— City of Atlanta, GA (@Cityofatlanta) March 22, 2018
根據 11Alive,是 Samsam 所做的攻擊。年初時 Samsam 也攻擊了科羅拉多州交通部。
​Demo
Analysis
SentinelOne會在 pre-execution 及 on-execution 就檢測到 Samsam 。在默認 policy 中,它將不會被允許執行。如果設置為檢測模式,SentinelOne 會檢測勒索軟體專門使用的行為,意指掃描硬碟上的文件,並用加密的版本替換它們。鑑於Samsam 使用漏洞進行部署,SentinelOne 會在此階段檢測到攻擊。在 Attack Storyline 中,我們看到 SentinelOne agent
​檢測到 Samsam,從而防止文件被加密並無法恢復。此外,如果未檢測到漏洞利用,SentinelOne 將檢測到受攻擊伺服器向網路上其他伺服器的任何橫向移動。在勒索軟體能夠執行之前,SentinelOne的早期檢測將會發現 Samsam 攻擊。另外,Samsam會刪除 shadow copies,使IT管理員無法將檔案和應用程式恢復到未加密狀態。 SentinelOne 識別此行為並檢測Samsam何時嘗試刪除 shadow copies。如果有什麼東西漏掉了,SentinelOne 能夠修復受攻擊的檔案並將它們回轉到預先加密的狀態。
Picture
原文
0 Comments

Your comment will be posted after it is approved.


Leave a Reply.

    Categories

    All
    Hus-interview
    Qlik
    Sentinelone
    Thegoodthebadtheugly
    『胡』說一下
    關於 AI

    Archives

    January 2021
    December 2020
    November 2020
    October 2020
    September 2020
    August 2020
    July 2020
    June 2020
    May 2020
    April 2020
    March 2020
    February 2020
    January 2020
    December 2019
    November 2019
    August 2019
    April 2019
    February 2019
    January 2019
    December 2018
    November 2018
    October 2018
    September 2018
    August 2018
    July 2018
    May 2018
    April 2018
    March 2018
    November 2017
    October 2017
    September 2017
    August 2017

    RSS Feed

​Copyright © 2017 安創資訊 Auriga Security Inc,. All rights reserved.
  • HOME
  • NEWS & EVENTS
  • BLOG
  • Contact Us
  • WE WANT YOU !