SamSam рвется в лидеры

Исследователи британской компании SophosLabs представили первое масштабное исследование активности зловреда-шифровальщика SamSam. Это вредоносное ПО известно с конца 2015 года, однако долгое время не привлекало особого внимания специалистов, оставаясь на вторых ролях. Ситуация изменилась в нынешнем году, после того как несколько атак SamSam получили широкую огласку и привели к чрезвычайно серьезным финансовым потерям. Достаточно вспомнить атаку на муниципальные IT-системы Атланты, ликвидация последствий которой уже обошлась городу более чем в 12 миллионов долларов.

По данным SophosLabs, SamSam уверенно входит в десятку самых популярных и опасных зловредов-шифровальщиков. Каждый день в его списке появляется как минимум одна новая жертва. При этом в отличие от большинства «собратьев» SamSam не полагается на фишинговые рассылки, наборы эксплойтов и другие техники массового заражения. Распространители вредоносного ПО действую «вручную», тщательно выбирают свои жертвы. Они проникают в их системы, эксплуатируя известные уязвимости. После этого составляется карта внутренних сетей, и лишь затем киберпреступники инфицируют зловредом серверы и рабочие станции. При этом они выбирают наиболее значимые для жертв цели, а также устройства, восстановить которые из резервных копий будет особенно сложно.

Исследователи отмечают, что чаще всего жертвами атак становятся государственные учреждения, а также организации сфер образования и здравоохранения. Это объясняется не только сравнительной слабостью их киберзащиты, но и четким графиком работы: первичные проникновения в системы осуществляются исключительно в нерабочие часы. Отследив адреса биткоин-кошельков, на которые вымогатели требуют переводить выкуп за разблокировку, специалисты SophosLabs установили, что с конца 2015 года киберпреступники заработали уже порядка 6 миллионов долларов. Выкуп им заплатили не менее 233 жертв – при этом публично объявили об инциденте лишь 86. Большинство атак приходятся на США, также случаи инфицирования SamSam зафиксированы в Канаде, Великобритании, Бельгии и странах Ближнего Востока.

Стоит признать, что хакеры держат слово – после получения требуемой суммы они практически всегда предоставляют ключи для разблокировки данных. Кто стоит за атаками SamSam, неизвестно, но исследователи сомневаются, что речь может идти о киберпреступных группах, имеющих поддержку на уровне национальных правительств. По мнению экспертов, атаки SamSam скорее осуществляет небольшая группа киберпреступников, а то и вовсе талантливый хакер-одиночка.