O ransomware SamSam rendeu aos criadores mais de US $5,9 milhões em pagamentos de resgates desde o final de 2015.
Segundo o relatório mais abrangente já publicado sobre atividades da SamSam, contendo informações desde 2015 até ataques anteriormente este mês.
SamSam rendeu US $ 5,9 milhões aos seus criadores
Após diversas coletas de dados de ataques passados e conversas com vítimas, fontes públicas e privadas de mineração de dados.
Além de uma parceria com a empresa de monitoramento de criptomoedas e blockchain (blockchain & cryptocurrency) Neutrino.
Neutrino é uma empresa especializada em rastrear transferências e relações entre os diferentes endereços de Bitcoin
O Que diz o Relatório
Compilado pela empresa de segurança cibernética britânica Sophos, o relatório de 47 páginas é resultado de pesquisadores
Após análise feita nos endereços que a equipe SamSam usou até agora foram reportados as seguintes informações.
A Sophos diz que identificou pelo menos 233 vítimas que pagaram um resgate à tripulação do SamSam
Pesquisadores dizem que com base nos dados coletados, eles conseguiram determinar que cerca 74% dos pagamentos estavam localizados nos EUA.
Algumas das vítimas estão espalhadas no Reino Unido, na Bélgica e no Canadá
Metade das vítimas que pagaram eram empresas do setor privado. Por outro lado o setor público também foi bem afetado. Enquanto cerca de 26% organizações de saúde, seguidas por 13% das vítimas sendo agências do governo. Ainda o setor de educação com cerca de 11% dos ataques.
A equipe da Sophos diz que identificou 157 endereços de Bitcoin usados nas notas de resgate. Porém outros 88 não receberam nenhum dinheiro.
Logo o total de fundos armazenados nesses endereços é de cerca de US $ 5,9 milhões. A princípio essas estimativas eram de US $ 850.000.
Inclusive a Sophos diz que o SamSam geralmente faz cerca de uma vítima por dia. Além disso uma em cada quatro vítimas pagam o resgate.
“Depois que a vítima paga resgate, o atacante quase sempre transferirá o dinheiro para várias contas no mesmo dia. Por outro lado em muitas ocasiões a vítima paga metade do resgate. Nesses casos o atacante esperará a segunda metade ser paga antes de transferir o valor total “, diz o relatório.
Ainda segundo os relatórios o máximo que o grupo ganhou com apenas um resgate é de US $ 64 mil. Provavelmente o que é muito mais do que o seu pagamento de resgate típico que varia entre US $ 200 e US $ 1.000.
SamSam permaneceu praticamente o mesmo
A razão para esse enorme pagamento de resgate é por causa da maneira como o grupo SamSam opera.
Inegavelmente o SamSam sempre foi diferente da maioria das ameaças de ransomware desde o momento em que apareceu pela primeira vez no final de 2015.
Seus criadores nunca usaram táticas de distribuição em massa, como spam de e-mail, kits de exploração (malvertising) ou sites / softwares de atualização falsos. Em vez disso, a equipe do SamSam visava uma vítima de cada vez
Inicialmente, eles usaram uma vulnerabilidade conhecida nos servidores JBoss para visar empresas com instalações acessíveis e não corrigidas pela Internet.
Enquanto os proprietários do JBoss corrigiam seus servidores o grupo procurava na Internet redes com conexões RDP expostas
Sendo assim ao encontrarem essas falhas, eles montam ataques de força bruta contra pontos de extremidade expostos. Então na esperança de encontrar pelo menos uma máquina que usasse credenciais fracas teriam êxito no ataque.
Uma vez dentro de uma rede, a equipe da SamSam gasta o máximo de tempo possível analisando a rede. Também mapeiam seu layout e usam várias ferramentas legítimas para expandir seu acesso de onde poderiam infectar outras estações de trabalho.
Uma vez que tivessem o acesso de que precisavam, os operadores do SamSam esperariam até o fim de semana ou a noite para implementar manualmente o binário.
Dessa forma, com o ataque preparado o ransomware criptografa os dados de todos os PCs. Dessa maneira chega a hora de exibir a nota de resgate para a empresa violada
“Uma porcentagem relativamente pequena escolhe pagar apenas por máquinas individuais”, disse um porta-voz da Sophos à Bleeping Computer via e-mail. “A maioria das vítimas pagou o valor total do resgate algumas vezes depois de pagar por uma máquina individual como teste primeiro”.
Os criadores do SamSam estão cada vez mais cautelosos
Ao longo do tempo, a Sophos diz que identificou pelo menos três versões principais do ransomware SamSam. Cada uma recebendo mais e mais medidas de proteção e assim impedir que os pesquisadores de segurança analisem seu funcionamento interno.
A Sophos observa que com o passar do tempo os operadores do SamSam se tornaram cada vez mais cautelosos. Em resumo modificaram a maneira de agir para ocultar cada vez mais seu rastro. Consequentemente transferiram os sites de pagamento de resgate para a Dark Web e implantaram mais ofuscação para o código do SamSam.
A razão é que depois de quase três anos alvejando empresas em todo o mundo, as empresas de segurança e policiais estão desesperadas para encontrar pistas que possam levá-las de volta aos seus criadores.
Mas a Sophos não acredita que o SamSam seja o trabalho de um grupo.
Finalmente em seu relatório, a empresa de segurança cibernética afirma que, com base na análise de todas as notas de resgate e do portal de pagamento de resgate, além de várias outras peculiaridades comportamentais, o ransomware SamSam parece ser o trabalho de um indivíduo solitário, em vez de um grupo.