安全专家发布了一份关于黑客的数百万美元黑市业务的报告,他们分析了SamSam勒索软件案例作为案例研究。跟踪犯罪团伙管理的比特币地址的研究人员发现,自 2015 年 12月威胁出现以来,SamSam勒索软件背后的骗子已经从受害者那里勒索了近600万美元。
“自从2015年底以来,SamSam的创造者已经获得超过了599万美元。74%的已知受害者都在美国。其他已知遭受袭击的地区包括加拿大,英国和中东。到目前为止,个人受害者支付的最大赎金价值为64,000美元,与大多数勒索软件家庭相比,这个数字大。”
Sophos跟踪了他们发现的所有SamSam版本中报告的比特币地址,并发现233名受害者总共支付了590万美元,并估计该组织每月净赚约30万美元。
“总的来说,我们现在已经确定了157个已收到赎金的唯一地址,以及89个用于勒索赎金和样本文件的地址,但迄今为止尚未收到付款。通过分析付款,并将其与当时的赎金票据进行比较,我们可以 估算到2018年7月 19 日选择支付至少部分赎金金额为233 的个人受害者人数。估计有1人新受害者每天都遭到袭击,我们认为大约四分之一的 受害者至少支付部分赎金。”
SamSam勒索软件支付
攻击者通过破坏目标计算机上的RDP手动部署SamSam勒索软件,这一方面使SamSam感染与利用垃圾邮件活动或恶意广告的其他勒索软件相关。攻击者对目标系统的RDP进行暴力攻击,有时他们会利用通常在黑暗网络上出售的其他数据泄露所获得的凭据。一旦攻击了目标组织内的系统,SamSam会在窃取凭据时搜索其他机器进行感染。
当运营商发现潜在目标时,他们使用PSEXEC和批处理脚本等工具手动部署SamSam。
下图显示了最新SamSam变体的不同步骤,其初始感染载体仍不清楚。
一旦感染了目标组织中最大数量的系统,运营商就会尝试以特殊价格完全清理受感染的系统。
最高估计值为解密密钥的比特币价值850,000美元。
由于多层优先级系统,加密过程首先涉及最有价值的数据,SamSam勒索软件不会加密Windows系统相关文件。
自发现以来,SamSam勒索软件针对的是大型组织,包括医院和教育机构。
Sophos提供以下建议以保护组织网络免受SamSam勒索软件的攻击:
定期修补应用程序和操作系统的已知漏洞;
保持定期备份;
使用多因素身份验证;
限制对RDP的访问(在端口3389上);