【概要】
- 使用ツール
- Mimikatz
- PsExec
- 攻撃時間
- 通常は営業時間後に侵入 (検知回避)
- 偵察を実施
- 環境変数が攻撃に適した状態になるまで休眠
- 特定したシステムを一斉に攻撃
- 収益
- 約6億7000万円 (2015後半以降)
- 攻撃手法
- リモートデスクトッププロトコル(RDP)を使って被害組織に侵入
- 総当たり攻撃
- ダークウェブで購入された認証情報
- 悪用できる脆弱性を探して攻撃コードを組織のネットワーク全体に広げる
- 復号の鍵と引き換えに多額の身代金をビットコインで支払うよう要求
- リモートデスクトッププロトコル(RDP)を使って被害組織に侵入
- 要求金額
- 5万ドル(約560万円)を超えるようになってきている
- 成功確率
- 2018年に入ってからは、1カ月あたりの支払い回数は最高で10回
- ターゲット組織
- 医療機関
- 行政機関(米アトランタ市等)
【ニュース】
◆医療機関を狙ってPC内のデータを人質に取り身代金を要求するランサムウェア「SamSam」の被害が拡大していることが判明 (Gigazine, 2016/03/30 15:00)
http://gigazine.net/news/20160330-samsam-ransomware/
◆自ら感染を広める新たなタイプのランサムウェア登場 (マイナビニュース, 2016/04/15)
http://news.mynavi.jp/news/2016/04/15/285/
◆暗号化型ランサムウェア「SAMSAM」から浮上する修正プログラム適用の課題 (Trendmicro, 2016/04/27)
https://blog.trendmicro.co.jp/archives/13263
◆SophosLabs releases SamSam ransomware report (Sophos, 2018/07/31)
https://news.sophos.com/en-us/2018/07/31/sophoslabs-releases-samsam-ransomware-report/
◆標的型ランサムウェア「SamSam」の被害、約6億7000万円に (ZDNet, 2018/08/01)
https://japan.zdnet.com/article/35123375/
◆被害額約600万ドルと言われるSamSamランサムウェアとは何か? - Sophosが詳細情報と対策のアドバイスを (マイナビニュース, 2018/08/25 17:13)
https://news.mynavi.jp/article/20180825-samsamsophos/
⇒ https://malware-log.hatenablog.com/entry/2018/08/25/000000_1
◆自動化から手作業に回帰?ターゲットを極めて絞ったランサムウェアがトレンド - SophosLab 2019 Threat Report (マイナビニュース, 2018/11/25 14:44)
https://news.mynavi.jp/article/20181125-sophos2019samsam/
⇒ https://malware-log.hatenablog.com/entry/2018/11/25/000000_1
◆先週のサイバー事件簿 - 偽「国境なき医師団」の詐欺に注意 (マイナビニュース, 2018/09/01 20:48)
https://news.mynavi.jp/article/20180901-687381/
⇒ https://malware-log.hatenablog.com/entry/2018/09/01/000000
◆特定ユーザーを狙った標的型攻撃が登場、Sophosの2019年版脅威レポート (@IT, 2018/12/26 18:30)
http://www.atmarkit.co.jp/ait/articles/1812/26/news107.html
⇒ http://malware-log.hatenablog.com/entry/2018/12/26/000000
◆ビットコイン(BTC)ランサムウェア作成のイラン人と疑惑の仮想通貨取引所BTC-e に関係性?|PwCレポート (CoinTelegraph, 2019/03/05)
https://jp.cointelegraph.com/news/pwc-bitcoin-ransomware-hackers-laundered-money-via-wex-exchange
⇒ http://malware-log.hatenablog.com/entry/2019/03/05/000000_6
◆ランサムウェア+標的型攻撃=? 新たな攻撃、被害は数百万ドル (ITmedia, 2019/03/12 07:00)
https://www.itmedia.co.jp/news/articles/1903/11/news101.html
⇒ https://malware-log.hatenablog.com/entry/2019/03/12/000000_4
◆人間が操作する巧妙なランサムウェアで被害が拡大--マイクロソフトの調査 (ZDNet, 2020/03/10 14:22)
https://japan.zdnet.com/article/35150560/
⇒ https://malware-log.hatenablog.com/entry/2020/03/10/000000
【ブログ】
◆SamSam: The Doctor Will See You, After He Pays The Ransom (Talos, 2016/03/23)
https://blog.talosintelligence.com/2016/03/samsam-ransomware.html
◆SamSam:治療は身代金を支払った後で (CISCO, 2016/04/01)
https://gblogs.cisco.com/jp/2016/04/samsam-ransomware-html/
◆標的型ランサムウェアという新しい傾向を示す Samsam (Symantec, 2016/04/06)
http://www.symantec.com/connect/ja/blogs/samsam
◆A Lesson on Patching: The Rise of SAMSAM Crypto-Ransomware (Trendmicro, 2016/04/22 12:15)
https://blog.trendmicro.com/trendlabs-security-intelligence/lesson-patching-rise-samsam-crypto-ransomware/
◆SamSam – 進化を続けて 4 週間で 325,000 ドル以上を取得 (CISCO, 2018/01/29 12:15)
https://gblogs.cisco.com/jp/2018/01/talos-samsam-evolution-continues-netting-over/
◆SamSamランサムウェアに関する重要な最新情報 (Security Blog(Fortinet), 2018/07/31)
https://www.fortinet.co.jp/security_blog/180731_critical-samsam-ransomware-update.html
◆Critical SamSam Ransomware Update (Fortinet, 2018/07/31)
https://www.fortinet.com/blog/threat-research/critical-samsam-ransomware-update.html
【資料】
◆SamSam: The (Almost) Six Million Dollar Ransomware (Sophos)
We report the findings of an ongoing investigation into the SamSam ransomware, and its creator/operator – the largest collection of data and IoC information published globally to date.
【関連情報】
出典: https://news.sophos.com/en-us/2018/07/31/sophoslabs-releases-samsam-ransomware-report/
【インディケータ情報】
■ハッシュ情報(Sha256)
- 036071786d7db553e2415ec2e71f3967baf51bdc31d0a640aa4afb87d3ce3050
- 0785bb93fdb219ea8cb1673de1166bea839da8ba6d7312284d2a08bd41e38cb9
- 0f2c5c39494f15b7ee637ad5b6b5d00a3e2f407b4f27d140cd5a821ff08acfac
- 338fdf3626aa4a48a5972f291aacf3d6172dd920fe16ac4da4dd6c5b999d2f13
- 3531bb1077c64840b9c95c45d382448abffa4f386ad88e125c96a38166832252
- 45e00fe90c8aa8578fce2b305840e368d62578c77e352974da6b8f8bc895d75b
- 4856f898cd27fd2fed1ea33b4d463a6ae89a9ccee49b134ea8b5492cb447fb75
- 516fb821ee6c19cf2873e637c21be7603e7a39720c7d6d71a8c19d8d717a2495
- 553967d05b83364c6954d2b55b8cfc2ea3808a17c268b2eee49090e71976ba29
- 58ef87523184d5df3ed1568397cea65b3f44df06c73eadeb5d90faebe4390e3e
- 6bc2aa391b8ef260e79b99409e44011874630c2631e4487e82b76e5cb0a49307
- 72832db9b951663b8f322778440b8720ea95cde0349a1d26477edd95b3915479
- 754fab056e0319408227ad07670b77dde2414597ff5e154856ecae5e14415e1a
- 7aa585e6fd0a895c295c4bea2ddb071eed1e5775f437602b577a54eef7f61044
- 88d24b497cfeb47ec6719752f2af00c802c38e7d4b5d526311d552c6d5f4ad34
- 88e344977bf6451e15fe202d65471a5f75d22370050fe6ba4dfa2c2d0fae7828
- 89b4abb78970cd524dd887053d5bcd982534558efdf25c83f96e13b56b4ee805
- 8eabfa74d88e439cfca9ccabd0ee34422892d8e58331a63bea94a7c4140cf7ab
- 8f803b66f6c6bc4da9211a2c4c4c5b46a113201ecaf056d35cad325ec4054656
- 939efdc272e8636fd63c1b58c2eec94cf10299cd2de30c329bd5378b6bbbd1c8
- 946dd4c4f3c78e7e4819a712c7fd6497722a3d616d33e3306a556a9dc99656f4
- 979692a34201f9fc1e1c44654dc8074a82000946deedfdf6b8985827da992868
- a763ed678a52f77a7b75d55010124a8fccf1628eb4f7a815c6d635034227177e
- dabc0f171b55f4aff88f32871374bf09da83668e1db2d2c18b0cd58ed04f0707
- e682ac6b874e0a6cfc5ff88798315b2cb822d165a7e6f72a5eb74e6da451e155
- e7bebd1b1419f42293732c70095f35c8310fa3afee55f1df68d4fe6bbee5397e
- ffef0f1c2df157e9c2ee65a12d5b7b0f1301c4da22e7e7f3eac6b03c6487a626
■BTC ウォレット
- 1MddNhqRCJe825ywjdbjbAQpstWBpKHmFR
■Tor オニオン サービス
- jcmi5n4c3mvgtyt5.onion