giovedì 2 agosto 2018

Storia di un ransomware: Samsam ha fatto guadagnare quasi 6 milioni di dollari ai suoi sviluppatori.


Il ransomware Samsam ha fatto guadagnare ai suoi creatori quasi 6 milioni di dollari di riscatti a partire dal 2015, anno del lancio: questi i dati pubblicato nel più completo report disponibile ad oggi dell'attività del ransomwware Samsam (il report, pubblicato dai ricercatori Sophos, è disponibile qui). 

233 vittime di SamSam hanno pagato il riscatto
Sophos ha collaborato, nella scrittura del report, con Neutrino, azienda di monitoraggio di blockchain e criptovalute: ha così potuto verificare transazioni e relazioni tra indirizzi Bitcoin differenti e la crew di SamSam. Tracciando questi indirizzi Bitcoin i ricercatori hanno potuto individuare almeno 233 vittime che non hanno trovato altra scelta che cedere al ricatto e pagare il riscatto: in base ai dati raccolti, la gran parte di queste vittime è localizzabile negli Stati Uniti, in Belgio e in Canada. 

La metà circa dei paganti sono aziende del settore privato, un quarto circa invece sono organizzazioni attive nell'ambito sanitario seguite da un 13% di vittime del settore governativo e da un 11% del settore dell'educazione. Sono stati individuati ben 175 diversi indirizzi Bitcoin usati nelle note di riscatto del ransomware SamSam e che hanno ricevuto pagamenti: altri 88 invece erano in uso, ma non hanno ricevuto pagamenti. La media è stata di un attacco mirato al giorno e di 1 pagatore ogni 4 vittime. 

Una volta pagato un riscatto, gli attaccanti trasferiscono quasi sempre il denaro su più account nello stesso giorno: in molto occasioni in cui la vittima ha pagato la metà del riscatto, i gestori del ransomware aspettano sempre l'arrivo della seconda metà prima di trasferire l'intero importo. 

Il riscatto più alto che è stato pagato da una sola vittima ammonta a circa 64.000 dollari: una punta impressionante tenendo di conto che invece la media oscilla tra i 200 e i 1000 dollari USA. 

Perchè così tanti profitti?
La ragione per un tale livello di guadagni (non tutti gli sviluppatori di ransomware hanno tutta questa "fortuna", anzi) è molto probabilmente legata alla modalità con la quale opera la crew di SamSam. Anzitutto non è mai stato usato un meccanismo di diffusione di massa (email di spam, exploit kit, falsi update per siti o software): al contrario SamSam ha sempre puntato su una vittima per volta. Inizialmente sfruttava  una vulnerabilità conosciuta nei serve JBoss per colpire aziende accessibili via Internet e con installazione JBoss non aggiornata. 

Una volta che si è radicalmente assottigliato il numero di installazioni JBoss non aggiornate, il gruppo ha cominciato a ricercare in Internet reti con le connessioni RDP esposte, tentando attacchi di brute-force mirati contro endpoint esposti sperando di trovare macchine con credenziali deboli. Una volta dentro la rete, la crew si concentra nella scansione della rete stessa, mappandone il layout e utilizzando vari strumenti legittimi (come PSExec) per ampliare l'accesso ai server locali dai quali infettare ulteriori workstation.  Ottenuto l'accesso, gli operatori di SamSam aspetteranno il fine settimana successivo all'accesso, o la notte stessa, per installare manualmente il binario del ransomware dal server a tutti gli host connessi. A questo punto il ransomware cripterà i dati contenuti nel pc e mostrerà la nota di riscatto: un unico pagamento per tutte le workstation oppure un costo fisso per ogni computer. 

Tutte le versioni
Sophos afferma di aver individuato 3 versioni principali del ransomware SamSam: tra l'una e l'altra le differenze che si interpongono sono relative esclusivamente all'aumento delle misure di protezione per impedire ai ricercatori di sicurezza di poter analizzare il malware e il suo funzionamento. 

Liberamente tradotta e riadattata da Sophos.
Sono cioè state aumentate continuamente le misure di offuscamento e gli strumenti di individuazione di virtual machine o sandbox. Oltre a ciò, i siti di pagamento per il riscatto sono stati spostati nel Dark Web: segno che la crew sente (e lo ha) il fiato sul collo di svariate società di sicurezza e delle forze dell'ordine di più Stati. 

Nessun commento:

Posta un commento