Разработчику вируса-вымогателя SamSam удалось получить 6 млн долларов в биткоине: исследование

Источник: coinews.io

С сентября 2015 года создатели вируса SamSam получили более 6 млн долларов в биткоине, сообщили аналитики из отдела кибербезопасности компании Sophos.

Британская компания по кибербезопасности опубликовала свои выводы в наиболее полном исследовании о вирусе-вымогателе SamSam.

Для исследования были использованы данные, собранные исследователями из прошлых атак SamSam, показаний потерпевших и выборки данных.

Результат – это 47-страничный отчет, в котором содержится подробный анализ того, как вымогатель проводил атаки и получал выкуп от 233 жертв.

Исследование Sophos показывает, что SamSam работал иначе, чем большинство выявленных угроз.

В общем, хакеры выполняют схемы массовых рассылок для распространения через электронную почту, фишинговые веб-сайты или рекламные объявления с поддержкой вредоносных программ.

Но в случае с SamSam злоумышленник выбирал одну жертву за один раз.

Сначала они использовали уязвимости в системах JBOSS, чтобы получать привилегии, которые бы позволили им размещать свой вымогатель в сеть.

Как только команда JBOSS исправила уязвимость, хакер переместился в Интернет, найдя списки уязвимых серверов с опасными соединениями с RDP с даркнета.

Была запущена атака грубой силы на машины с относительно слабыми полномочиями, тем самым был получен доступ к сети.

Получив доступ к сети, злоумышленники использовали кучу хакерских инструментов и тратили дни, чтобы повысить свои привилегии до того момента, когда смогли взять на себя роль администратора домена.

Они следили за сканированием сети для целевых компьютеров, находили их и разворачивали вредоносное программное обеспечение, используя законные инструменты администрирования сети Windows, такие как PsExec.

После того, как операторы SamSam получали доступ к сети, они выжидали ночного времени суток или выходных, чтобы запустить код SamSam через взломанные серверы на компьютеры жертв – одиночные или рабочие станции.

И, как любой вымогатель, SamSam тоже зашифровывал данные ПК, оставляя за собой заявление о выкупе.

Исследователи Sophos также сотрудничали с компанией Neutrino, которая собирает данные и занимается блокчейн-мониторингом, чтобы просмотреть записи о транзакции биткоина SamSam, отслеживая движение средств, которых не было в предыдущих отчетах.

В общем, Sophos и Neutrino выделили 157 уникальных биткоин-адресов, которые получили выкуп.

В исследовании также найдено 89 биткоин-адресов, которые упомянуты, но не получили выкупа.

В целом, операторы SamSam использовали три кошелька, из которых только один остается активным до этого времени.

Этот мобильный кошелек получил платежи из 8 различных адресов.

Начиная с 2016 года, оператор SamSam получил не менее 300 тыс долларов от своих жертв, включая учреждения здравоохранения и государственные учреждения.

Однако исследования Sophos показывает, что больше всего пострадал частный сектор. 74% жертв принадлежат Соединенным Штатам, а Великобритании и Канаде – по 8%.

В отчете Sophos также упоминается об эволюции исходной программы SamSam, причем каждое обновление имеет лучшую защиту и держит исследователей на расстоянии.

В исследовании упоминается о том, что программа-вымогатель SamSam теперь использует сильные обфусации, то есть запутывание кода, при проведении всех финансовых операций в даркнете.

В исследовании говорится:

“С конца 2015 года SamSam развился и сосредоточился на двух главных целях: во-первых, улучшить метод развертывания, чтобы воздействие на жертвы было большим.

Во-вторых, сделать анализ атак сложнее, чтобы сохранить конфиденциальность атакующего”.

Но Sophos утверждает, что SamSam – это работа не организованной преступной группы.

Напротив, исследователи считают, что это работа одного человека.

Читайте также

Добавить комментарий

Вверх