Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Opisi virusa, 01.08.2018, 11:30 AM

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je podatak iz izveštaja kompanije Sophos koji je najsveobuhvatniji izveštaj o aktivnostima SamSama koji je do danas objavljen. Stručnjaci Sophosa pratili su ransomware od njegovog debija krajem 2015. godine do napada koji su se desili ranije ovog meseca.

Prateći sve Bitcoin adrese koje su mogli da pronađu, istraživači Sophosa su identifikovali najmanje 233 žrtve koje su platile otkupninu kriminalcima koji stoje iza SamSama, od kojih je 86 javno objavilo da su platili otkupninu, omogućavajući Sophosu da napravi profile svake od ovih žrtava.

Istraživači kažu da su, na osnovu podataka koje su dobili od ovih 86 žrtava, utvrdili da je oko tri četvrtine onih koji su platili otkupninu iz SAD, a neke žrtve locirane su u Velikoj Britaniji, Belgiji i Kanadi.

Polovina žrtava koje su platile su kompanije u privatnom sektoru, oko četvrtina su službe zdravstvenog osiguranja, 13% žrtava su vladine agencije, a oko 11% su institucije u sektoru obrazovanja.

Sophos kaže da je identifikovao 157 Bitcoin adresa koje su korišćene u porukama o otkupu koje su prikazivane žrtvama a na koje su stigle uplate žrtava, i još 88 adresa gde nije bilo uplata.

Ukupna sredstva koja su uplaćena iznose oko 5,9 miliona dolara, što je više od ranijih procena o finansijskoj snazi grupe za koju se pretpostavljalo da je zaradila "samo" 850000 dolara.

Istraživači Sophosa kažu da je prosek SamSama jedna žrtva dnevno, a jedna od četiri žrtve plati otkup.

"Kada žrtva plati otkup, napadač će skoro uvek, istog dana prebaciti novac na više različitih računa. U više navrata gde je žrtva platila polovinu iznosa otkupnine, napadač će sačekati da i ostatak bude plaćen pre nego što prebaci celi iznos", navodi se u izveštaju.

Grupa je jednom zaradila 64000 dolara, od jedne otkupnine, što je značajno više od uobičajenih otkupnina koje se kreću između 200 i 1000 dolara.

Razlog za ovaj dobar odazov žrtava je način na koji SamSam grupa posluje. SamSam se oduvek razlikovao od većine sličnih pretnji.

Njegovi tvorci nikada nisu koristili taktike masovne distribucije kao što su spam emailovi, exploit alati (maliciozni oglasi) ili lažni sajtovi za ažuriranje ili preuzimanje softvera. Umesto toga, grupa SamSam je napadala samo po jednu žrtvu. U početku su koristili poznatu ranjivost na JBoss serverima kako bi ciljali kompanije sa ranjivim instaliranim JBossom.

Kada su vlasnici JBossa rešili ovaj problem, postalo je teže naći nove žrtve, pa je grupa prešla na pretraživanje interneta, tražeći mreže sa izloženim RDP konekcijama i izvodila brute-force napade na izložene računare, u nadi da će pronaći najmanje jedan sa slabom lozinkom.

Kada bi prodrla u mrežu, SamSam grupa bi utrošila značajno vreme na skeniranje i mapiranje mreže, koristila različite legitimne alate kao što je PsExec da proširi pristup lokalnim serverima odakle bi mogla da zarazi druge radne stanice.

Kada su dobila potreban pristup, SamSam grupa bi čekala do vikenda ili noću da ručno rašiti ransomware na sve računare. Ransomware je zatim šifrovao sve podatke na računarima i prikazivao poruku o otkupu.

Ako je u pitanju firma, ona može da plati otkup za sve inficirane računare ili za svaki posebno. "Relativno mali procenat odluči da plati za samo neke računare", kažu iz Sophosa. "Većina žrtava je platila puni iznos otkupa pošto je najpre probno platila za jedan računar."

Sophos je od 2015. identifikovao najmanje tri glavne verzije SamSam ransomwarea, od kojih je svaka dobijala sve više i više zaštitnih mera kako bi sprečila istraživače da analiziraju malver.

Sophos napominje da su, kako je vreme prolazio, operateri SamSama postali su sve oprezniji, pa su i sajt za plaćanje otkupa preselili na Dark Web.

Razlog za pojačani oprez je to što posle skoro tri godine napada na kompanije širom sveta, policija i kompanije koje se bave sajber bezbednošću očajnički žele da pronađu tragove koji bi ih mogli odvesti do autora ransomwarea.

U Sophosu ne veruju da je SamSam delo neke grupe. Na osnovu svega što su saznali o ransomwareu, istraživači veruju da je malver pre delo pojedinca a ne grupe.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje