Ransomware SamSam đã “tống tiền” được gần 6 triệu USD

August 8, 2018

Ransomware đã mang về cho tội phạm mạng hàng triệu đô la thông qua chợ đen, và SamSam là ví dụ điển hình cho việc này.

Nghiên cứu mới tiết lộ rằng ransomware SamSam đã tống tiền gần 6 triệu đô la từ nạn nhân kể từ tháng 12 năm 2015, khi băng nhóm mạng đằng sau ransomware bắt đầu phát tán phần mềm độc hại.

Các nhà nghiên cứu tại Sophos đã theo dõi các địa chỉ Bitcoin thuộc sở hữu của những kẻ tấn công đã đề cập đến các ghi chú tiền chuộc của mỗi phiên bản SamSam và nhận thấy rằng những kẻ tấn công đã nhận được hơn 5,9 triệu USD từ 233 nạn nhân, và lợi nhuận của họ vẫn tăng lên, khoảng 300.000 USD mỗi tháng.

“Tổng cộng, chúng tôi đã xác định 157 địa chỉ khác nhau đã nhận được tiền chuộc cũng như 89 địa chỉ đã được sử dụng trên ghi chú tiền chuộc và các tập tin mẫu nhưng, cho đến nay, đã không nhận được thanh toán”, báo cáo mới của Sophos.

Tấn công Ransomware SamSam

 

Điều làm cho SamSam nổi bật so với các hình thức ransomware khác là SamSam không được phân phối theo cách không có kế hoạch thông qua các chiến dịch email spam; thay vào đó, kẻ tấn công chọn mục tiêu và hệ thống tiềm năng để lây nhiễm theo cách thủ công.

Những kẻ tấn công đầu tiên thỏa hiệp RDP trên một hệ thống nhắm mục tiêu, hoặc bằng cách tiến hành tấn công brute force hoặc sử dụng các thông tin bị đánh cắp được mua từ dark web và sau đó cố gắng triển khai chiến lược SamSam ransomware trên toàn mạng bằng cách khai thác lỗ hổng trong các hệ thống khác.

Không giống như các phần mềm ransomware nổi tiếng khác như WannaCry và NotPetya, SamSam không bao gồm bất kỳ khả năng giống như vi-rút để tự lan truyền. Thay vào đó, ransomware dựa vào kẻ tấn công để lây lan.

Một khi họ kiểm soát được hệ thống mạng, ransomware sau đó mã hóa dữ liệu của hệ thống và yêu cầu một khoản tiền chuộc khổng lồ (thường là hơn 50.000 $ cao hơn nhiều so với bình thường) trong Bitcoin để đổi lấy các khóa giải mã.

“Phương pháp này có nhiều lợi ích. Là một cuộc tấn công thủ công, nó không có nguy cơ lan rộng ngoài tầm kiểm soát, thu hút sự chú ý không mong muốn. Nó cũng cho phép kẻ tấn công vào mục tiêu được chọn, và biết máy tính nào đã được mã hóa.”

Ransomware SamSam lựa chọn mục tiêu tấn công một cách cẩn thận

 

Kể từ tháng 12 năm 2015, SamSam đã nhắm mục tiêu đáng kể một số tổ chức lớn, bao gồm chính quyền thành phố Atlanta, Sở Giao thông Vận tải Colorado, một số bệnh viện và cơ sở giáo dục như Đại học bang Mississippi Valley.

Cho đến nay, khoản tiền chuộc lớn nhất được trả bởi một nạn nhân có giá trị $ 64,000 – một số tiền lớn đáng kể so với hầu hết các họ ransomware.

Kể từ khi các nạn nhân SamSam không thấy bất kỳ tùy chọn khác để khôi phục các tập tin được mã hóa của họ, một tỷ lệ đáng kể các nạn nhân đang trả tiền chuộc, làm cho cuộc tấn công hiệu quả hơn.

Theo Sophos, 74% các tổ chức nạn nhân được xác định có trụ sở tại Hoa Kỳ, và những tổ chức khác được phân phối ở Canada, Anh và Trung Đông.

Để bảo vệ chống lại mối đe dọa này, người dùng và các tổ chức được khuyến nghị giữ bản sao lưu thường xuyên, sử dụng xác thực đa yếu tố, hạn chế quyền truy cập vào RDP (trên cổng 3389) và luôn cập nhật hệ thống và phần mềm.

Nguồn: thehackernews.com