Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Opisi virusa, 01.08.2018, 11:30 AM

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je podatak iz izveštaja kompanije Sophos koji je najsveobuhvatniji izveštaj o aktivnostima SamSama koji je do danas objavljen. Stručnjaci Sophosa pratili su ransomware od njegovog debija krajem 2015. godine do napada koji su se desili ranije ovog meseca.

Prateći sve Bitcoin adrese koje su mogli da pronađu, istraživači Sophosa su identifikovali najmanje 233 žrtve koje su platile otkupninu kriminalcima koji stoje iza SamSama, od kojih je 86 javno objavilo da su platili otkupninu, omogućavajući Sophosu da napravi profile svake od ovih žrtava.

Istraživači kažu da su, na osnovu podataka koje su dobili od ovih 86 žrtava, utvrdili da je oko tri četvrtine onih koji su platili otkupninu iz SAD, a neke žrtve locirane su u Velikoj Britaniji, Belgiji i Kanadi.

Polovina žrtava koje su platile su kompanije u privatnom sektoru, oko četvrtina su službe zdravstvenog osiguranja, 13% žrtava su vladine agencije, a oko 11% su institucije u sektoru obrazovanja.

Sophos kaže da je identifikovao 157 Bitcoin adresa koje su korišćene u porukama o otkupu koje su prikazivane žrtvama a na koje su stigle uplate žrtava, i još 88 adresa gde nije bilo uplata.

Ukupna sredstva koja su uplaćena iznose oko 5,9 miliona dolara, što je više od ranijih procena o finansijskoj snazi grupe za koju se pretpostavljalo da je zaradila "samo" 850000 dolara.

Istraživači Sophosa kažu da je prosek SamSama jedna žrtva dnevno, a jedna od četiri žrtve plati otkup.

"Kada žrtva plati otkup, napadač će skoro uvek, istog dana prebaciti novac na više različitih računa. U više navrata gde je žrtva platila polovinu iznosa otkupnine, napadač će sačekati da i ostatak bude plaćen pre nego što prebaci celi iznos", navodi se u izveštaju.

Grupa je jednom zaradila 64000 dolara, od jedne otkupnine, što je značajno više od uobičajenih otkupnina koje se kreću između 200 i 1000 dolara.

Razlog za ovaj dobar odazov žrtava je način na koji SamSam grupa posluje. SamSam se oduvek razlikovao od većine sličnih pretnji.

Njegovi tvorci nikada nisu koristili taktike masovne distribucije kao što su spam emailovi, exploit alati (maliciozni oglasi) ili lažni sajtovi za ažuriranje ili preuzimanje softvera. Umesto toga, grupa SamSam je napadala samo po jednu žrtvu. U početku su koristili poznatu ranjivost na JBoss serverima kako bi ciljali kompanije sa ranjivim instaliranim JBossom.

Kada su vlasnici JBossa rešili ovaj problem, postalo je teže naći nove žrtve, pa je grupa prešla na pretraživanje interneta, tražeći mreže sa izloženim RDP konekcijama i izvodila brute-force napade na izložene računare, u nadi da će pronaći najmanje jedan sa slabom lozinkom.

Kada bi prodrla u mrežu, SamSam grupa bi utrošila značajno vreme na skeniranje i mapiranje mreže, koristila različite legitimne alate kao što je PsExec da proširi pristup lokalnim serverima odakle bi mogla da zarazi druge radne stanice.

Kada su dobila potreban pristup, SamSam grupa bi čekala do vikenda ili noću da ručno rašiti ransomware na sve računare. Ransomware je zatim šifrovao sve podatke na računarima i prikazivao poruku o otkupu.

Ako je u pitanju firma, ona može da plati otkup za sve inficirane računare ili za svaki posebno. "Relativno mali procenat odluči da plati za samo neke računare", kažu iz Sophosa. "Većina žrtava je platila puni iznos otkupa pošto je najpre probno platila za jedan računar."

Sophos je od 2015. identifikovao najmanje tri glavne verzije SamSam ransomwarea, od kojih je svaka dobijala sve više i više zaštitnih mera kako bi sprečila istraživače da analiziraju malver.

Sophos napominje da su, kako je vreme prolazio, operateri SamSama postali su sve oprezniji, pa su i sajt za plaćanje otkupa preselili na Dark Web.

Razlog za pojačani oprez je to što posle skoro tri godine napada na kompanije širom sveta, policija i kompanije koje se bave sajber bezbednošću očajnički žele da pronađu tragove koji bi ih mogli odvesti do autora ransomwarea.

U Sophosu ne veruju da je SamSam delo neke grupe. Na osnovu svega što su saznali o ransomwareu, istraživači veruju da je malver pre delo pojedinca a ne grupe.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasni malver se širi preko rezultata Google pretrage

Opasni malver se širi preko rezultata Google pretrage

Malver koji krade lozinke, kreditne kartice i kripto novčanike podmeće se žrtvama se kroz rezultate pretrage za piratske kopije CCleaner Pro Window... Dalje

Posle desetomesečne pauze malver Emotet se vratio i sada krade informacije o kreditnim karticama iz Chromea

Posle desetomesečne pauze malver Emotet se vratio i sada krade informacije o kreditnim karticama iz Chromea

Botnet Emotet sada pokušava da zarazi potencijalne žrtve modulom za krađu kreditnih kartica dizajniranim da prikupi informacije o kreditnim kartica... Dalje

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

ChromeLoader je “prodoran i uporan otmičar pregledača” koji može da izmeni podešavanja veb pregledača žrtava da bi prikazao rezultat... Dalje

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Istraživači iz firme za sajber bezbednost Zscaler upozorili su na fišing sajtove koji nude lažne instalacione programe za Windows 11 a zapravo inf... Dalje

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Istraživači iz CloudSEK-a upozorili su na lažnu Windows 11 nadogradnju koja krije malver koji krade podatke iz veb pregledača i novčanika kriptov... Dalje