Разработчику вируса-вымогателя SamSam удалось получить 6 млн долларов в биткоине: исследование

С сентября 2015 года создатели вируса SamSam получили более 6 млн долларов в биткоине, сообщили аналитики из отдела кибербезопасности компании Sophos.

Британская компания по кибербезопасности опубликовала свои выводы в наиболее полном исследовании о вирусе-вымогателе SamSam. Для исследования были использованы данные, собранные исследователями из прошлых атак SamSam, показаний потерпевших и выборки данных. Результат - это 47-страничный отчет, в котором содержится подробный анализ того, как вымогатель проводил атаки и получал выкуп от 233 жертв.

Исследование Sophos показывает, что SamSam работал иначе, чем большинство выявленных угроз. В общем, хакеры выполняют схемы массовых рассылок для распространения через электронную почту, фишинговые веб-сайты или рекламные объявления с поддержкой вредоносных программ. Но в случае с SamSam злоумышленник выбирал одну жертву за один раз. Сначала они использовали уязвимости в системах JBOSS, чтобы получать привилегии, которые бы позволили им размещать свой вымогатель в сеть.

Как только команда JBOSS исправила уязвимость, хакер переместился в Интернет, найдя списки уязвимых серверов с опасными соединениями с RDP с даркнета. Была запущена атака грубой силы на машины с относительно слабыми полномочиями, тем самым был получен доступ к сети.

Получив доступ к сети, злоумышленники использовали кучу хакерских инструментов и тратили дни, чтобы повысить свои привилегии до того момента, когда смогли взять на себя роль администратора домена. Они следили за сканированием сети для целевых компьютеров, находили их и разворачивали вредоносное программное обеспечение, используя законные инструменты администрирования сети Windows, такие как PsExec.

После того, как операторы SamSam получали доступ к сети, они выжидали ночного времени суток или выходных, чтобы запустить код SamSam через взломанные серверы на компьютеры жертв - одиночные или рабочие станции. И, как любой вымогатель, SamSam тоже зашифровывал данные ПК, оставляя за собой заявление о выкупе.

Исследователи Sophos также сотрудничали с компанией Neutrino, которая собирает данные и занимается блокчейн-мониторингом, чтобы просмотреть записи о транзакции биткоина SamSam, отслеживая движение средств, которых не было в предыдущих отчетах.

В общем, Sophos и Neutrino выделили 157 уникальных биткоин-адресов, которые получили выкуп. В исследовании также найдено 89 биткоин-адресов, которые упомянуты, но не получили выкупа. В целом, операторы SamSam использовали три кошелька, из которых только один остается активным до этого времени. Этот мобильный кошелек получил платежи из 8 различных адресов.

Начиная с 2016 года, оператор SamSam получил не менее 300 тыс долларов от своих жертв, включая учреждения здравоохранения и государственные учреждения.

Однако исследования Sophos показывает, что больше всего пострадал частный сектор. 74% жертв принадлежат Соединенным Штатам, а Великобритании и Канаде - по 8%.

В отчете Sophos также упоминается об эволюции исходной программы SamSam, причем каждое обновление имеет лучшую защиту и держит исследователей на расстоянии. В исследовании упоминается о том, что программа-вымогатель SamSam теперь использует сильные обфусации, то есть запутывание кода, при проведении всех финансовых операций в даркнете. В исследовании говорится:

С конца 2015 года SamSam развился и сосредоточился на двух главных целях: во-первых, улучшить метод развертывания, чтобы воздействие на жертвы было большим. Во-вторых, сделать анализ атак сложнее, чтобы сохранить конфиденциальность атакующего.

Но Sophos утверждает, что SamSam - это работа не организованной преступной группы. Напротив, исследователи считают, что это работа одного человека.