Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Opisi virusa, 01.08.2018, 11:30 AM

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je podatak iz izveštaja kompanije Sophos koji je najsveobuhvatniji izveštaj o aktivnostima SamSama koji je do danas objavljen. Stručnjaci Sophosa pratili su ransomware od njegovog debija krajem 2015. godine do napada koji su se desili ranije ovog meseca.

Prateći sve Bitcoin adrese koje su mogli da pronađu, istraživači Sophosa su identifikovali najmanje 233 žrtve koje su platile otkupninu kriminalcima koji stoje iza SamSama, od kojih je 86 javno objavilo da su platili otkupninu, omogućavajući Sophosu da napravi profile svake od ovih žrtava.

Istraživači kažu da su, na osnovu podataka koje su dobili od ovih 86 žrtava, utvrdili da je oko tri četvrtine onih koji su platili otkupninu iz SAD, a neke žrtve locirane su u Velikoj Britaniji, Belgiji i Kanadi.

Polovina žrtava koje su platile su kompanije u privatnom sektoru, oko četvrtina su službe zdravstvenog osiguranja, 13% žrtava su vladine agencije, a oko 11% su institucije u sektoru obrazovanja.

Sophos kaže da je identifikovao 157 Bitcoin adresa koje su korišćene u porukama o otkupu koje su prikazivane žrtvama a na koje su stigle uplate žrtava, i još 88 adresa gde nije bilo uplata.

Ukupna sredstva koja su uplaćena iznose oko 5,9 miliona dolara, što je više od ranijih procena o finansijskoj snazi grupe za koju se pretpostavljalo da je zaradila "samo" 850000 dolara.

Istraživači Sophosa kažu da je prosek SamSama jedna žrtva dnevno, a jedna od četiri žrtve plati otkup.

"Kada žrtva plati otkup, napadač će skoro uvek, istog dana prebaciti novac na više različitih računa. U više navrata gde je žrtva platila polovinu iznosa otkupnine, napadač će sačekati da i ostatak bude plaćen pre nego što prebaci celi iznos", navodi se u izveštaju.

Grupa je jednom zaradila 64000 dolara, od jedne otkupnine, što je značajno više od uobičajenih otkupnina koje se kreću između 200 i 1000 dolara.

Razlog za ovaj dobar odazov žrtava je način na koji SamSam grupa posluje. SamSam se oduvek razlikovao od većine sličnih pretnji.

Njegovi tvorci nikada nisu koristili taktike masovne distribucije kao što su spam emailovi, exploit alati (maliciozni oglasi) ili lažni sajtovi za ažuriranje ili preuzimanje softvera. Umesto toga, grupa SamSam je napadala samo po jednu žrtvu. U početku su koristili poznatu ranjivost na JBoss serverima kako bi ciljali kompanije sa ranjivim instaliranim JBossom.

Kada su vlasnici JBossa rešili ovaj problem, postalo je teže naći nove žrtve, pa je grupa prešla na pretraživanje interneta, tražeći mreže sa izloženim RDP konekcijama i izvodila brute-force napade na izložene računare, u nadi da će pronaći najmanje jedan sa slabom lozinkom.

Kada bi prodrla u mrežu, SamSam grupa bi utrošila značajno vreme na skeniranje i mapiranje mreže, koristila različite legitimne alate kao što je PsExec da proširi pristup lokalnim serverima odakle bi mogla da zarazi druge radne stanice.

Kada su dobila potreban pristup, SamSam grupa bi čekala do vikenda ili noću da ručno rašiti ransomware na sve računare. Ransomware je zatim šifrovao sve podatke na računarima i prikazivao poruku o otkupu.

Ako je u pitanju firma, ona može da plati otkup za sve inficirane računare ili za svaki posebno. "Relativno mali procenat odluči da plati za samo neke računare", kažu iz Sophosa. "Većina žrtava je platila puni iznos otkupa pošto je najpre probno platila za jedan računar."

Sophos je od 2015. identifikovao najmanje tri glavne verzije SamSam ransomwarea, od kojih je svaka dobijala sve više i više zaštitnih mera kako bi sprečila istraživače da analiziraju malver.

Sophos napominje da su, kako je vreme prolazio, operateri SamSama postali su sve oprezniji, pa su i sajt za plaćanje otkupa preselili na Dark Web.

Razlog za pojačani oprez je to što posle skoro tri godine napada na kompanije širom sveta, policija i kompanije koje se bave sajber bezbednošću očajnički žele da pronađu tragove koji bi ih mogli odvesti do autora ransomwarea.

U Sophosu ne veruju da je SamSam delo neke grupe. Na osnovu svega što su saznali o ransomwareu, istraživači veruju da je malver pre delo pojedinca a ne grupe.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje