SamSam Ransomware

Malware bleibt eine der größten Bedrohungen für Privatpersonen und Unternehmen. Cyberkriminelle entwickeln ständig neue Angriffsstrategien, um Schwachstellen auszunutzen und sich unrechtmäßig Zugriff auf sensible Daten zu verschaffen. Unter diesen Bedrohungen sticht die SamSam-Ransomware als besonders gefährliche Variante hervor, vor allem weil sie von den üblichen Phishing-basierten Infektionsmethoden abweicht. Um Ihre Systeme zu schützen, ist es unerlässlich, ihre Funktionsweise zu verstehen und robuste Sicherheitsmaßnahmen zu implementieren.

Was ist SamSam-Ransomware?

SamSam Ransomware, auch bekannt als Samas oder SamsamCrypt, wurde erstmals Ende 2015/Anfang 2016 entdeckt und erlangte schnell Bekanntheit durch gezielte Angriffe auf kritische Sektoren wie Gesundheitswesen, Transport, Bildung und Kommunalverwaltungen. Im Gegensatz zu typischen Ransomware-Kampagnen, die auf Social-Engineering-Taktiken basieren, nutzt SamSam direkte Netzwerkausnutzung.

Obwohl man zunächst davon ausging, dass die Malware aus Osteuropa stammte, brachten Untersuchungen später die Verbindung zu iranischen Cyberkriminellen hervor; 2018 wurden zwei Personen angeklagt. Die Auswirkungen waren weltweit: Es wurden Angriffe in den USA, Großbritannien, Frankreich, Portugal, Australien, Kanada und dem Nahen Osten dokumentiert.

Berüchtigte Angriffskampagnen

Verkehrsministerium von Colorado
Im Februar 2018 erlebte das Colorado Department of Transportation eine erhebliche Störung, als SamSam seine Systeme verschlüsselte und die Zahlung in Bitcoin verlangte. Das CDOT weigerte sich, der Aufforderung nachzukommen und gab schätzungsweise 1,7 Millionen Dollar für die Wiederherstellung aus.

Lokale Regierung von Atlanta
Im März 2018 wurde die Stadt Atlanta durch einen SamSam-Angriff lahmgelegt. Der Angriff erfolgte über einen Brute-Force-Angriff auf das Remote Desktop Protocol (RDP). Betroffen waren Dienste von Versorgungsunternehmen bis hin zum Gerichtssystem. Die Angreifer forderten 51.000 US-Dollar in Bitcoin, doch die Stadt lehnte ab und gab letztlich 2,7 Millionen US-Dollar für die Sanierung aus.

Auswirkungen auf den Gesundheitssektor
SamSam betraf insbesondere die Gesundheitsbranche. Zu den namhaften Opfern zählten unter anderem Allied Physicians of Michiana, Hancock Health und Allscripts. Allein im Jahr 2018 entfiel ein Viertel aller bekannten SamSam-Angriffe auf den Gesundheitssektor.

Wie funktioniert SamSam Ransomware?

Im Gegensatz zu Ransomware, die über Phishing-E-Mails oder bösartige Anhänge verbreitet wird, nutzt SamSam anfällige Systeme und gestohlene Anmeldeinformationen. Laut der Cybersecurity & Infrastructure Security Agency (CISA) nutzen Angreifer Schwachstellen in Windows-Servern aus und verschaffen sich Fernzugriff über:

• Offene oder ungepatchte RDP-Verbindungen
• Gekaufte oder durch Brute-Force-Methoden erbeutete Anmeldeinformationen

Sobald Angreifer in das Netzwerk eingedrungen sind, erweitern sie ihre Berechtigungen, verteilen die Malware manuell und verschlüsseln kritische Dateien. Dieser praxisorientierte Ansatz ermöglicht präzises Targeting und weitreichende Schäden in kompromittierten Netzwerken.

Der Lösegeldbrief und die Zahlungstaktiken

Nach Abschluss der Verschlüsselung hinterlassen die SamSam-Betreiber eine Lösegeldforderung, in der sie die Opfer anweisen, über ein Tor-basiertes Portal zu kommunizieren. Die Zahlung erfolgt in Bitcoin. Obwohl einige Opfer nach der Zahlung Entschlüsselungsschlüssel erhalten haben, besteht keine Garantie dafür, dass die Angreifer die Vereinbarung einhalten.

Ist SamSam immer noch eine Bedrohung?

Obwohl die Zahl der öffentlich bekannt gewordenen Angriffe nach 2018 zurückging und wichtige Betreiber verhaftet wurden, gibt es keine Anzeichen dafür, dass die Ransomware ausgerottet wurde. Es gibt kein offizielles Entschlüsselungstool, sodass SamSam weiterhin als aktives Risiko gilt.

Stärken Sie Ihre Verteidigung: Best Practices für die Sicherheit

Um eine SamSam-Infektion zu verhindern, ist eine proaktive Sicherheitsstrategie erforderlich, die sich auf die Schließung der ausgenutzten Schwachstellen konzentriert. Hier sind die wichtigsten Schritte, die jedes Unternehmen umsetzen sollte:

1. Sichern und Überwachen des RDP-Zugriffs

• Deaktivieren Sie RDP, wenn es nicht benötigt wird.
• Erzwingen Sie für erforderliche RDP-Dienste eine starke Authentifizierung und beschränken Sie den Zugriff auf vertrauenswürdige IP-Adressen.
• Wenden Sie umgehend die neuesten Sicherheitspatches an, um ausnutzbare Schwachstellen zu beseitigen.

2. Setzen Sie das Prinzip der geringsten Privilegien durch

• Beschränken Sie Benutzerberechtigungen nur auf wesentliche Funktionen.
• Verwenden Sie eine rollenbasierte Zugriffskontrolle, um weitreichende Schäden durch ein einzelnes kompromittiertes Konto zu verhindern.

3. Einführung sicherer Kennwort- und Authentifizierungsrichtlinien

• Eine sichere Passwortstrategie sollte Folgendes beinhalten:
• Eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
• Regelmäßige Passwortänderungen und Verbot der Wiederverwendung.
• Häufige Fehler, die Sie vermeiden sollten:
• Teilen von Anmeldeinformationen mit anderen.
• Deaktivieren der Multi-Faktor-Authentifizierung (MFA).
• Speichern von Passwörtern in ungesicherten Dateien.

4. Führen Sie regelmäßige Backups durch

• Bewahren Sie Backups offline oder in segmentierten Netzwerken auf.
• Testen Sie die Wiederherstellungsverfahren regelmäßig, um die Wirksamkeit sicherzustellen.

Abschließende Gedanken

Die SamSam-Ransomware ist eindringlicher Beweis dafür, dass Ransomware-Angriffe nicht immer darauf basieren, Benutzer auszutricksen, sondern oft technische Schwachstellen ausnutzen. Unternehmen, die ihre RDP-Verbindungen nicht absichern, keine strengen Authentifizierungsmaßnahmen ergreifen oder keine ausreichenden Backups durchführen, riskieren, in die Schlagzeilen zu geraten. Wachsamkeit, mehrschichtige Sicherheitskontrollen und geschulte Mitarbeiter sind nach wie vor die beste Verteidigung gegen sich entwickelnde Cyberbedrohungen.