Samsam ransomware je svojim stvariteljem prinesel že slabih 6 milijonov dolarjev

Dare Hriberšek

31. jul 2018 ob 21:33:31

Britansko varnostno podjetje Sophos je objavilo poročilo o preteklem delovanju izsiljevalske kode, imenovane SamSam, ki se je pojavila konec leta 2015. Poročilo je nastalo s pomočjo zbiranja podatkov iz javnih in zasebnih virov, intervjuvanjem žrtev in podatki, ki so jih zbrali iz dosedanjih napadov. Prav tako so s pomočjo podjetja Neutrino, ki se ukvarja z nadzorom kriptovalut, analizirali transakcije med žrtvami in storilci, ki so potekale v bitcoinih.

Prek SamSama naj bi doslej izpeljali vsaj 230 uspešnih napadov, toliko žrtev so namreč preiskovalci identificirali. 86 od teh jih je bilo pripravljenih tudi spregovoriti o tem. Med njimi je bilo tri četrtine Američanov, ob tem pa še nekaj Kanadčanov, Britancev in Belgijcev. Storilcem je običajno uspelo v plačilo prepričati po eno žrtev dnevno, skupen znesek na ta način zbranih bitcoinov pa je nanesel okoli 5,8 milijona USD. Najvišji znesek, ki ga je posamezna žrtev plačala, je znašal kar 64.000 USD.

Visoka odkupnina je posledica načina delovanja skupine okoli SamSama. Svojih žrtev niso iskali z množičnimi načini, denimo prek pošiljanja spam sporočil ali okuženih oglasov. Raje so identificirali eno samo potencialno žrtev, običajno prek ranljivosti v JBoss aplikacijskih strežnikih, potem, ko so slednjo zakrpali, pa z iskanjem izpostavljenih RDP povezav, takih s šibkimi gesli, ki so jih nato razbili s pomočjo brute force metod.

Ko so uspešno prodrli v omržje, so si najprej vzeli čas in se z njim dodobra seznanili, nato pa v nočnih urah ali ob koncu tedna prek strežnika okužili vse delovne postaje s kodo, ki je zašifrirala vsebino vseh PC-jev. Prizadetemu podjetju so pozneje poslali sporočilo in mu ponudili plačilo odkupnine, bodisi za vsak posamezni računalnik ali pa s popustom za celoto.

In kar je morda najbolj zanimivo: Sophos v poročilu ugotavlja, da za SamSamom najverjetneje stoji posameznik in ne skupina. To so ugotovili iz jezikovne analize uporabljenih sporočil in drugega obnašanja domnevnih izsiljevalcev. Ki so tri leta zatem še vedno na prostosti in - očitno precej premožni.