Компания по кибербезопасности Sophos выпустила отчет по вирусу-шифровальщику SamSam, в котором говорится, что с конца 2016 года вирус принес хакерам более $6 млн в биткоинах. Исследование основано на данных, собранных из прошлых атак SamSam, показаний жертв и образцов вируса.
Исследование выявило, что SamSam работает по-другому, чем другие подобные шифровальщики. Обычно хакеры массово рассылают спам, задействуют фишинг или встраивают вредоносное ПО в рекламу. Но в случае с SamSam, хакер нацеливается только на одну жертву за раз.
Злоумышленник использует большое количество разных инструментов взлома и кропотливо получает доступ администратора к какому-либо домену. Когда ему это удается, он проводит сканирование компьютеров и встраивает вирус с помощью легальных средств сетевого администрирования. После этого хакер ждет ночи или ближайших выходных, чтобы запустить код SamSam, который шифрует данные на компьютере.
В общей сложности Sophos идентифицировала 157 уникальных биткоин-адресов, на которые отсылались выкупы. С этих адресов хакер переводил биткоины на три основных кошелька, один из которых до сих пор активен.
С 2016 года создатель SamSam ежемесячно получал около $300000, нацеливаясь как на крупные организации, в том числе и правительственные, так и на более мелкие частные компании. Согласно исследованию, 74% пострадавших приходится на США. В исследовании Sophos также говорится о постоянном усовершенствовании SamSam.
«С конца 2015 года SamSam развивается, чтобы сосредоточиться на двух основных задачах: улучшить метод развертывания и усложнить анализ атак, чтобы маскировать вирус как можно дольше», — говорится в отчете.
Компания утверждает, что за вирусом, скорее всего, стоит не группа хакеров, а один опытный человек.
