Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Opisi virusa, 01.08.2018, 11:30 AM

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je podatak iz izveštaja kompanije Sophos koji je najsveobuhvatniji izveštaj o aktivnostima SamSama koji je do danas objavljen. Stručnjaci Sophosa pratili su ransomware od njegovog debija krajem 2015. godine do napada koji su se desili ranije ovog meseca.

Prateći sve Bitcoin adrese koje su mogli da pronađu, istraživači Sophosa su identifikovali najmanje 233 žrtve koje su platile otkupninu kriminalcima koji stoje iza SamSama, od kojih je 86 javno objavilo da su platili otkupninu, omogućavajući Sophosu da napravi profile svake od ovih žrtava.

Istraživači kažu da su, na osnovu podataka koje su dobili od ovih 86 žrtava, utvrdili da je oko tri četvrtine onih koji su platili otkupninu iz SAD, a neke žrtve locirane su u Velikoj Britaniji, Belgiji i Kanadi.

Polovina žrtava koje su platile su kompanije u privatnom sektoru, oko četvrtina su službe zdravstvenog osiguranja, 13% žrtava su vladine agencije, a oko 11% su institucije u sektoru obrazovanja.

Sophos kaže da je identifikovao 157 Bitcoin adresa koje su korišćene u porukama o otkupu koje su prikazivane žrtvama a na koje su stigle uplate žrtava, i još 88 adresa gde nije bilo uplata.

Ukupna sredstva koja su uplaćena iznose oko 5,9 miliona dolara, što je više od ranijih procena o finansijskoj snazi grupe za koju se pretpostavljalo da je zaradila "samo" 850000 dolara.

Istraživači Sophosa kažu da je prosek SamSama jedna žrtva dnevno, a jedna od četiri žrtve plati otkup.

"Kada žrtva plati otkup, napadač će skoro uvek, istog dana prebaciti novac na više različitih računa. U više navrata gde je žrtva platila polovinu iznosa otkupnine, napadač će sačekati da i ostatak bude plaćen pre nego što prebaci celi iznos", navodi se u izveštaju.

Grupa je jednom zaradila 64000 dolara, od jedne otkupnine, što je značajno više od uobičajenih otkupnina koje se kreću između 200 i 1000 dolara.

Razlog za ovaj dobar odazov žrtava je način na koji SamSam grupa posluje. SamSam se oduvek razlikovao od većine sličnih pretnji.

Njegovi tvorci nikada nisu koristili taktike masovne distribucije kao što su spam emailovi, exploit alati (maliciozni oglasi) ili lažni sajtovi za ažuriranje ili preuzimanje softvera. Umesto toga, grupa SamSam je napadala samo po jednu žrtvu. U početku su koristili poznatu ranjivost na JBoss serverima kako bi ciljali kompanije sa ranjivim instaliranim JBossom.

Kada su vlasnici JBossa rešili ovaj problem, postalo je teže naći nove žrtve, pa je grupa prešla na pretraživanje interneta, tražeći mreže sa izloženim RDP konekcijama i izvodila brute-force napade na izložene računare, u nadi da će pronaći najmanje jedan sa slabom lozinkom.

Kada bi prodrla u mrežu, SamSam grupa bi utrošila značajno vreme na skeniranje i mapiranje mreže, koristila različite legitimne alate kao što je PsExec da proširi pristup lokalnim serverima odakle bi mogla da zarazi druge radne stanice.

Kada su dobila potreban pristup, SamSam grupa bi čekala do vikenda ili noću da ručno rašiti ransomware na sve računare. Ransomware je zatim šifrovao sve podatke na računarima i prikazivao poruku o otkupu.

Ako je u pitanju firma, ona može da plati otkup za sve inficirane računare ili za svaki posebno. "Relativno mali procenat odluči da plati za samo neke računare", kažu iz Sophosa. "Većina žrtava je platila puni iznos otkupa pošto je najpre probno platila za jedan računar."

Sophos je od 2015. identifikovao najmanje tri glavne verzije SamSam ransomwarea, od kojih je svaka dobijala sve više i više zaštitnih mera kako bi sprečila istraživače da analiziraju malver.

Sophos napominje da su, kako je vreme prolazio, operateri SamSama postali su sve oprezniji, pa su i sajt za plaćanje otkupa preselili na Dark Web.

Razlog za pojačani oprez je to što posle skoro tri godine napada na kompanije širom sveta, policija i kompanije koje se bave sajber bezbednošću očajnički žele da pronađu tragove koji bi ih mogli odvesti do autora ransomwarea.

U Sophosu ne veruju da je SamSam delo neke grupe. Na osnovu svega što su saznali o ransomwareu, istraživači veruju da je malver pre delo pojedinca a ne grupe.