迫于勒索软件:美国一家医院支付5.5万美元的赎金
- A
近日,美国印第安纳州汉考克地区的一家医院被迫向黑客支付了价值5.5万美元的比特币赎金,以求尽快摆脱勒索软件对其计算机设备的控制。
一、美国一家医院向SamSam勒索软件妥协
美国这家医院的工作人员在2018年01月11日时发现,黑客组织影响了医院的电子邮件和健康记录,不过患者的数据并没有被黑客获取。
随后,安全研究人员对此展开了调查,发现黑客利用SamSam勒索软件加密了部分医院的文件,并将文件的后缀全部修改为“ I’m sorry ”。
医院立即展开了紧急应对措施:通过专业IT人员介入暂停了医院的整个网络系统;要求员工关闭所有计算机,防止勒索软件通过局域网感染其他计算机;更有传言称,医院的医护人员开始使用笔和纸来代替计算机继续工作。
其后,医院表示,尽管文件都有备份,但从备份中恢复文件是一件很麻烦的事情,因为这需要把所有的系统投入到运行需要几天甚至几周的时间,基于此才不得不向黑客组织支付了赎金。
我们知道,SamSam勒索软件主要是通过开放的RDP端口进行传播的,而分析此次医院遭到SamSam勒索软件入侵的原因,则是黑客暴力破解了医院系统的RDP端口,达到再更多计算机设备上部署SamSam勒索软件的目的。
二、SamSam勒索软件的分析
实际上,SamSam勒索软件早在两年前就出现过了,笔者有幸在2017年07月时分析过该勒索软件,当时其关联的比特币地址上获取到的最新一笔赎金已经达到了33000美元。
SamSam勒索病毒主要攻击的攻击目标是基于Java的Web服务器,该病毒能够通过Jboss攻击获得远程访问,并部署web-shells使用reGeorg做内网渗透,然后在http信道之上连接RDP,最后运行批量脚本将勒索软件部署到其他机器上。
与WannaCry等其他勒索软件不同的是,SamSam包含有一个通道,可以让攻击者实时的通过.onion网站与受害者进行通信,从而完成赎金交易。
三、这并不是企业第一次向勒索软件支付赎金
实际上,这也不是笔者第一次分析的企业向勒索软件缴械妥协、缴纳赎金的案例,2017年6月份时候,韩国网络服务托管商Nayana遭到了勒索软件攻击,被迫支付赎金恢复数据,但后来到底是否得以恢复我们没有继续追踪。
而时间到了2017年11月时,Nayana公司再度遭到勒索攻击,这次有没有选择向黑客组织支付赎金,我们也没有掌握具体的资料。
