Источник: coinews.io
С сентября 2015 года создатели вируса SamSam получили более 6 млн долларов в биткоине, сообщили аналитики из отдела кибербезопасности компании Sophos.
Британская компания по кибербезопасности опубликовала свои выводы в наиболее полном исследовании о вирусе-вымогателе SamSam.
Для исследования были использованы данные, собранные исследователями из прошлых атак SamSam, показаний потерпевших и выборки данных.
Результат — это 47-страничный отчет, в котором содержится подробный анализ того, как вымогатель проводил атаки и получал выкуп от 233 жертв.
Исследование Sophos показывает, что SamSam работал иначе, чем большинство выявленных угроз.
В общем, хакеры выполняют схемы массовых рассылок для распространения через электронную почту, фишинговые веб-сайты или рекламные объявления с поддержкой вредоносных программ.
Но в случае с SamSam злоумышленник выбирал одну жертву за один раз.
Сначала они использовали уязвимости в системах JBOSS, чтобы получать привилегии, которые бы позволили им размещать свой вымогатель в сеть.
Как только команда JBOSS исправила уязвимость, хакер переместился в Интернет, найдя списки уязвимых серверов с опасными соединениями с RDP с даркнета.
Была запущена атака грубой силы на машины с относительно слабыми полномочиями, тем самым был получен доступ к сети.
Получив доступ к сети, злоумышленники использовали кучу хакерских инструментов и тратили дни, чтобы повысить свои привилегии до того момента, когда смогли взять на себя роль администратора домена.
Они следили за сканированием сети для целевых компьютеров, находили их и разворачивали вредоносное программное обеспечение, используя законные инструменты администрирования сети Windows, такие как PsExec.
После того, как операторы SamSam получали доступ к сети, они выжидали ночного времени суток или выходных, чтобы запустить код SamSam через взломанные серверы на компьютеры жертв — одиночные или рабочие станции.
И, как любой вымогатель, SamSam тоже зашифровывал данные ПК, оставляя за собой заявление о выкупе.
Исследователи Sophos также сотрудничали с компанией Neutrino, которая собирает данные и занимается блокчейн-мониторингом, чтобы просмотреть записи о транзакции биткоина SamSam, отслеживая движение средств, которых не было в предыдущих отчетах.
В общем, Sophos и Neutrino выделили 157 уникальных биткоин-адресов, которые получили выкуп.
В исследовании также найдено 89 биткоин-адресов, которые упомянуты, но не получили выкупа.
В целом, операторы SamSam использовали три кошелька, из которых только один остается активным до этого времени.
Этот мобильный кошелек получил платежи из 8 различных адресов.
Начиная с 2016 года, оператор SamSam получил не менее 300 тыс долларов от своих жертв, включая учреждения здравоохранения и государственные учреждения.
Однако исследования Sophos показывает, что больше всего пострадал частный сектор. 74% жертв принадлежат Соединенным Штатам, а Великобритании и Канаде — по 8%.
В отчете Sophos также упоминается об эволюции исходной программы SamSam, причем каждое обновление имеет лучшую защиту и держит исследователей на расстоянии.
В исследовании упоминается о том, что программа-вымогатель SamSam теперь использует сильные обфусации, то есть запутывание кода, при проведении всех финансовых операций в даркнете.
В исследовании говорится:
«С конца 2015 года SamSam развился и сосредоточился на двух главных целях: во-первых, улучшить метод развертывания, чтобы воздействие на жертвы было большим.
Во-вторых, сделать анализ атак сложнее, чтобы сохранить конфиденциальность атакующего».
Но Sophos утверждает, что SamSam — это работа не организованной преступной группы.
Напротив, исследователи считают, что это работа одного человека.
Самые актуальные новости - в 
