美国科罗拉多州交通部遭勒索攻击 两千台计算机被迫关机

“用指尖改变世界”

本月21日上午，美国科罗拉多州交通部(CDOT)遭遇了黑客攻击，分属该机构的两千台计算机被证实感染了勒索软件SAMSAM的一个变种，并被迫停止使用。

勒索软件加密了计算机文件，攻击者要求CDOT采用比特币支付赎金。幸运的是，感染勒索软件的两千台计算机仅属于CDOT员工的办公电脑，该机构的关键服务(包括摄像头、留言板、交通警报和旅行信息通知系统)仍继续正常运行在单独的系统上。

CDOT信息技术办公室发言人Brandi Simmons表示，他们已经向联邦调查局寻求了帮助，并立即展开了针对黑客攻击事件的调查。另外，Simmons强调，CDOT并不会选择向黑客支付赎金，针对文件损坏情况的审查以及恢复工作正在有序的进行中。

科罗拉多州州长信息技术办公室(OIT)首席技术官David McCurdy在当天发布的一份声明中表示：“在今天早上，我们发现勒索软件已经感染了科罗拉多州交通部的计算机系统。该州迅速采取了行动，对受感染的系统进行了隔离，以防止勒索软件的进一步扩散。由OIT、FBI和其他安全机构共同组成的安全团队正在分析并确定一个根本原因。这个勒索软件是一个变种，该州与其防病毒软件提供商合作在今天实施了一项修补工作。该州拥有强大的备份和安全工具，并不会选择向黑客支付赎金。安全团队还将继续密切关注情况，并将在夜晚持续工作。”

SAMSAM，也被称为SAMAS(被趋势科技检测为RANSOM_SAMAS)。与很多其他勒索软件不同，它并不是通过垃圾电子邮件传播的，攻击者需要通过强制RDP连接访问目标企业内部网络来传播恶意软件。美国联邦调查局(FBI)在2016年4月份曾向全球企业和组织发出了一则关于SAMSAM的公开警报。

在2017年8月份底，SAMSAM 添加了一项新的功能，允许攻击者检查感染范围。如果有更多的系统受到感染，其赎金需求可能会从每台受感染设备的1.7个比特币上升至12个比特币。

新的SAMSAM变种则是通过使用开源渗透测试工具进行传播，它利用了WildFly(以前称为JBoss)的应用程序服务器中存在的漏洞潜入网络。然后，传播到与其相连接的其他系统中去。

更值得注意的是，SAMSAM此前在今年1月份已经登上了新闻头条，当时它袭击了位于印第安纳州的汉考克健康(Hancock Health)，迫使其管理层为了解锁计算机、恢复文件以及系统运行支付了4个比特币(约5.5万美元)作为赎金。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。