Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava
Opisi virusa, 01.08.2018, 11:30 AM

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je podatak iz izveštaja kompanije Sophos koji je najsveobuhvatniji izveštaj o aktivnostima SamSama koji je do danas objavljen. Stručnjaci Sophosa pratili su ransomware od njegovog debija krajem 2015. godine do napada koji su se desili ranije ovog meseca.
Prateći sve Bitcoin adrese koje su mogli da pronađu, istraživači Sophosa su identifikovali najmanje 233 žrtve koje su platile otkupninu kriminalcima koji stoje iza SamSama, od kojih je 86 javno objavilo da su platili otkupninu, omogućavajući Sophosu da napravi profile svake od ovih žrtava.
Istraživači kažu da su, na osnovu podataka koje su dobili od ovih 86 žrtava, utvrdili da je oko tri četvrtine onih koji su platili otkupninu iz SAD, a neke žrtve locirane su u Velikoj Britaniji, Belgiji i Kanadi.
Polovina žrtava koje su platile su kompanije u privatnom sektoru, oko četvrtina su službe zdravstvenog osiguranja, 13% žrtava su vladine agencije, a oko 11% su institucije u sektoru obrazovanja.
Sophos kaže da je identifikovao 157 Bitcoin adresa koje su korišćene u porukama o otkupu koje su prikazivane žrtvama a na koje su stigle uplate žrtava, i još 88 adresa gde nije bilo uplata.
Ukupna sredstva koja su uplaćena iznose oko 5,9 miliona dolara, što je više od ranijih procena o finansijskoj snazi grupe za koju se pretpostavljalo da je zaradila "samo" 850000 dolara.
Istraživači Sophosa kažu da je prosek SamSama jedna žrtva dnevno, a jedna od četiri žrtve plati otkup.
"Kada žrtva plati otkup, napadač će skoro uvek, istog dana prebaciti novac na više različitih računa. U više navrata gde je žrtva platila polovinu iznosa otkupnine, napadač će sačekati da i ostatak bude plaćen pre nego što prebaci celi iznos", navodi se u izveštaju.
Grupa je jednom zaradila 64000 dolara, od jedne otkupnine, što je značajno više od uobičajenih otkupnina koje se kreću između 200 i 1000 dolara.
Razlog za ovaj dobar odazov žrtava je način na koji SamSam grupa posluje. SamSam se oduvek razlikovao od većine sličnih pretnji.
Njegovi tvorci nikada nisu koristili taktike masovne distribucije kao što su spam emailovi, exploit alati (maliciozni oglasi) ili lažni sajtovi za ažuriranje ili preuzimanje softvera. Umesto toga, grupa SamSam je napadala samo po jednu žrtvu. U početku su koristili poznatu ranjivost na JBoss serverima kako bi ciljali kompanije sa ranjivim instaliranim JBossom.
Kada su vlasnici JBossa rešili ovaj problem, postalo je teže naći nove žrtve, pa je grupa prešla na pretraživanje interneta, tražeći mreže sa izloženim RDP konekcijama i izvodila brute-force napade na izložene računare, u nadi da će pronaći najmanje jedan sa slabom lozinkom.
Kada bi prodrla u mrežu, SamSam grupa bi utrošila značajno vreme na skeniranje i mapiranje mreže, koristila različite legitimne alate kao što je PsExec da proširi pristup lokalnim serverima odakle bi mogla da zarazi druge radne stanice.
Kada su dobila potreban pristup, SamSam grupa bi čekala do vikenda ili noću da ručno rašiti ransomware na sve računare. Ransomware je zatim šifrovao sve podatke na računarima i prikazivao poruku o otkupu.
Ako je u pitanju firma, ona može da plati otkup za sve inficirane računare ili za svaki posebno. "Relativno mali procenat odluči da plati za samo neke računare", kažu iz Sophosa. "Većina žrtava je platila puni iznos otkupa pošto je najpre probno platila za jedan računar."
Sophos je od 2015. identifikovao najmanje tri glavne verzije SamSam ransomwarea, od kojih je svaka dobijala sve više i više zaštitnih mera kako bi sprečila istraživače da analiziraju malver.
Sophos napominje da su, kako je vreme prolazio, operateri SamSama postali su sve oprezniji, pa su i sajt za plaćanje otkupa preselili na Dark Web.
Razlog za pojačani oprez je to što posle skoro tri godine napada na kompanije širom sveta, policija i kompanije koje se bave sajber bezbednošću očajnički žele da pronađu tragove koji bi ih mogli odvesti do autora ransomwarea.
U Sophosu ne veruju da je SamSam delo neke grupe. Na osnovu svega što su saznali o ransomwareu, istraživači veruju da je malver pre delo pojedinca a ne grupe.

Izdvojeno
Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a
.jpg)
Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje
Novi malver koji krade lozinke širi se preko YouTube-a
.jpg)
Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje
Novi malver MassJacker krije se u piratskom softveru
.jpg)
Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje
Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje
BlackLock je nova opasna ransomware banda

Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje
Pratite nas
Nagrade