Uvažovali jste někdy nad tím, co vede tvůrce škodlivých aplikaci k jejich nekalé činnosti? Vězte, že v některých případech to může být docela slušný výdělek. Například autoři ransomwaru SamSam si během tří let vydělali 5,9 milionů dolarů, což je v přepočtu asi 130 milionů korun. Poznatky bezpečnostní firmy Sophos rozebral server Gizmodo.
Britská společnost Sophos, zabývající se kybernetickou bezpečností, ve zprávě uvádí mnoho poznatků k ransomwaru SamSam. Podobně, jako většina škodlivých aplikací tohoto typu, fungoval SamSam tak, že nejprve zašifroval data na pevném disku a následně požadoval po uživateli výkupné (obvykle ve formě kryptoměny) za jejich vrácení do původního stavu.
Ransomware SamSam se objevil v roce 2015 a na rozdíl od většiny podobných programů, spoléhajících na masový útok (např. WannaCry), pořádali jeho autoři cílené útoky na předem vybrané oběti. Jednou z nejznámějších obětí je město Atlanta, které zotavováním z útoku na komunální sítě strávilo několik týdnů.
Zpočátku ransomware využíval známou zranitelnost v aplikačních serverech JBoss, takže útoky byl cíleny na firmy a společnosti, využívající toto řešení. Předpokladem k úspěchu byla absence bezpečnostní záplaty a dostupnost serverových služeb z internetu.
Logickou obranou byla instalace záplat, která útočníkům zavřela dveře. Ti následně hledali a našli jiné cesty. Útočili například na sítě s protokoly RDP exponovanými do internetu, či podnikali masové brute-force útoky na vybrané vstupní body sítí. V případě úspěchu následovalo zmapování sítě. Samotný útok přicházel zpravidla v době nejmenšího provozu – typicky v noci či o víkendu.
Po zašifrování dat nabídl SamSam obětem několik možností platby za dešifrování. Ze 233 obětí se podařilo tímto způsobem vymámit v průměru kolem 25 000 dolarů (více než půl milionu korun), což v konečném součtu dává více než 5,9 milionů dolarů, tedy téměř 130 milionů korun. Autoři si tak vydělali zhruba 5000 korun každou hodinu, bez ohledu na to, zda spali, jedli, nebo dělali něco jiného.
Odborníci tvrdí, že tři čtvrtiny platících uživatelů pocházely z USA, další oběti se nacházely ve Velké Británii, Belgii a Kanadě. Polovina obětí, které zaplatily, byly podniky v soukromém sektoru, přibližně ve čtvrtině případů se jednalo o zdravotnické organizace, po nichž následují se 13 % vládní agentury a přibližně 11 % tvoří instituce v oblasti vzdělávání.
Skoro šest milionů dolarů je spousta peněz a podle Sophosu existují náznaky, že SamSam byl vyvinut jedním člověkem. Staví například na tom, že v komentářích a textech ve zdrojovém kódu se opakovaně objevují stejné gramatické chyby. Na jejich základě odborníci soudí, že autor nemá jako svůj rodný jazyk angličtinu.
SamSam postupem času získal mnoho funkcí, jejichž cílem bylo oklamat případná detekční opatření. Že s jídlem roste chuť potvrzuje skutečnost, že průměrná částka potřebná k odemknutí strojů se v průběhu času zvýšila na zhruba 50 000 dolarů, tedy více než milion korun.
