執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに

攻撃が発生する頻度は1日あたり1回程度と少ないものの、攻撃を受けた被害者の4分の1が、何かしらの身代金を支払っていると分析。7月19日までに支払った被害者は233件に及ぶと見ている。

攻撃方法を見ると、「JBossアプリケーションサーバ」における脆弱性の悪用のほか、最近では「リモートデスクトッププロトコル（RDP）」のパスワードに対する総当たり攻撃などを通じて標的とするネットワークに侵入。ただし、標的をどのように選定しているかは明らかになっていないという。

侵入後もドメイン管理者の権限を掌握するまで潜伏。攻撃者は時間をかけて戦術を練り、成功するまで次々とさまざまなアプローチを試行。認証情報を窃取する「Mimikatz」なども使用していた。

ドメイン管理者権限の取得に成功すると、正規ツールなどを活用してネットワーク内部を調査。「PsExec」や「PaExec」などを活用しつつ、「SamSam」を拡散。各マシンで潜伏し、最大限のダメージを与えるため、従業員や管理者がいない深夜や早朝を狙って一斉に発症させるという。

（Security NEXT - 2018/08/22 ）ツイート