Вымогатель SamSam заработал $5,9 млн за два с половиной года

Создатели вымогателя SamSam с декабря 2015 года заработали почти $6 миллионов. К такому выводу пришли ИБ-специалисты, наблюдающие за вредоносной кампанией с момента ее обнаружения. По словам экспертов, злоумышленники не снижают криминальную активность и ежемесячно получают от жертв около $300 тысяч.

Согласно результатам исследования, киберпреступники применяют тактику направленных атак, причем проводят их в ручном режиме. На первом этапе злоумышленники используют брутфорс для определения пароля и доступа к целевому устройству по протоколу удаленного рабочего стола. Затем мошенники пытаются повысить свои привилегии и получить контроль над службой домена локальной сети при помощи эксплойтов и вредоносных утилит. Наконец, для дальнейшего распространения внутри инфраструктуры организации вымогатели прибегают к средствам удаленного администрирования.

Чтобы не привлекать внимания, шифрование обычно начинается после наступления полуночи в часовом поясе жертвы. В случае срабатывания систем защиты программа останавливает кодирование файлов и полностью удаляет следы своей деятельности.

Авторы постоянно совершенствуют деструктивные инструменты вымогателя — на данный момент SamSam шифрует не только пользовательские документы, но и конфигурационные файлы программ. В результате для восстановления работоспособности системы требуется полная переустановка ПО. Это существенно увеличивает ущерб от деятельности зловреда и подталкивает целевые компании к выплате выкупа.

Как отмечают исследователи, почти три четверти пострадавших от SamSam организаций расположены в США. Половина жертв является коммерческими компаниями, а 26% относятся к сфере здравоохранения. Под ударом также государственные и образовательные учреждения — на их долю приходится 13% и 11% успешных атак соответственно.

Мошенники создают на компьютере жертвы документ SORRY-FOR-FILES.html (извините за файлы), а с недавних пор используют .weapologize (мы извиняемся) в качестве расширения зашифрованных объектов. Эксперты британского портала The Register считают, что таким образом киберпреступники подчеркивают свою безнаказанность.

Исследователи отмечают, что аппетиты вымогателей растут — в данный момент максимальная сумма требований выросла до $64 тысяч. Выкуп поступает на один из биткойн-кошельков злоумышленников, после чего деньги легализуются при помощи большого числа микротранзакций.

Между тем ИБ-специалисты постепенно учатся отражать атаки вымогателя. В июле 2018 года сеть лабораторий LabCorp сумела справиться с вторжением SamSam и блокировать работу зловреда. Обнаружив нападение, эксперты медицинского учреждения идентифицировали угрозу и отключили скомпрометированный сегмент сети. Тем не менее, шифровальщик успел поразить около 2 тыс. серверов и 7 тыс. подключенных к ним систем диагностического подразделения организации.

Источник: https://threatpost.ru/samsam-earned-5-9m-in-2-5-years-2/27500/