Исследование: “Вымогатель SamSam принес создателям $6 млн в биткойне"

По данным исследования фирмы по кибербезопасности Sophos, вирус-вымогатель SamSam собрал для своего создателя более 6 миллионов долларов в биткойне с конца 2015 года.

Британская фирма, занимающаяся кибербезопасностью, опубликовала свои выводы в исследовании, которое считается, самым всесторонним относительно атак SamSam. Исследование основано на данных, собранных исследователями по прошлым атакам SamSam, свидетельствам жертв и образцов данных. Результатом является 47-страничный отчет, который содержит подробный анализ того, как вирус выбирал цель, и получил выкуп у 233 жертв.

Одна жертва за раз

Исследование Sophos показывает, что SamSam работает не так как большинство вирусов-вымогателей. В целом, хакеры выполняют схемы массового распространения, чтобы распространять вирус через электронную рассылку спама, фишинг-сайты или рекламу с поддержкой вредоносных программ. Но в случае с SamSam злоумышленник (и) выбирал одну жертву за раз. Первоначально он(и) использовали уязвимости в системах JBOSS для получения привилегий, которые позволяли бы им копировать своего “вымогателя” в сеть.

После того, как команда JBOSS исправила эту уязвимость, злоумышленник(и) переместился в Интернет, предположительно, закупив списки уязвимых серверов с небезопасными соединениями RDP из даркнета. Они начали атаки грубой силы на машины с относительно слабой защитой; тем самым, получая доступ к сети.

Получив доступ к сети, злоумышленник(и) используют кучу инструментов взлома и много дней, чтобы повысить свои привилегии до такой степени, когда они берут на себя роль администратора домена. Они отслеживают целевые компьютеры для атаки с помощью сканирования сети, и развертывают вредоносное ПО с использованием законных средств сетевого администрирования Windows, таких как PsExec.

После того, как операторы SamSam получают необходимый доступ, они ждут ночи или выходных дней, чтобы запустить код SamSam через взломанные серверы в машины жертв - одиночные или рабочие станции. И, как любой другой вирус-вымогатель, SamSam тоже шифрует данные ПК, требую выкуп у жертвы.

Исследователи Sophos также сотрудничали с Neutrino, цифровой валютой и фирмой по мониторингу блокчейн данных, чтобы заглянуть в записи биткоин транзакций SamSam. Пара отследила каждую транзакцию биткойн, чтобы найти жертв и средства, которые отсутствовали в предыдущих отчетах.

В общей сложности Sophos и Neutrino идентифицировали 157 уникальных адресов биткойн, которые получили выкуп. Комбинированное исследование также обнаружило 89 Биткойн адресов, которые были упомянуты в заметках о выкупах, но не получили никаких денег. В целом, оператор(ы) SamSam использовали три кошелька, из которых только один активен по сей день. Этот мобильный кошелек уже получил платежи с 8 разных адресов.

С 2016 года оператор(ы) SamSam ежемесячно собирал(и) около 300 000 долларов со своих жертв, иногда от здравоохранения и правительства. Тем не менее, исследование Sophos утверждает, что частный сектор пострадал больше всего. В другом исследовании 74% жертв принадлежат Соединенным Штатам, а Великобритании и Канаде по 8%.

“С конца 2015 года SamSam развивается, чтобы сосредоточиться на двух основных задачах: во-первых, улучшить метод развертывания, с тем чтобы воздействие на жертв было больше; Во-вторых, сделать анализ нападений сложнее, что еще больше помогает сохранить секретность злоумышленника.”

Sophos оспаривает, что SamSam - это работа организованной преступной группы. Вместо этого исследование считает, что это работа одного человека.