SamSam ransomware obtiene $ 5.9 millones en Bitcoin

0

Sophos, una compañía inglesa dedicada a la seguridad informática, reveló cómo el ransomware conocido como SamSam recaudó un valor de 5,9 millones $ en Bitcoin desde finales de 2015.

La empresa de ciberseguridad realizó lo que se considera la investigación más completa sobre el ransomware SamSam.

Es importante destacar que un ransomware es un tipo de software malicioso de criptovirología que amenaza con publicar los datos de la víctima o bloquear el acceso perpetuamente a él, a menos que se pague una especie de rescate.

De acuerdo a los estimado, desde el 2015, más de 233 transferencias de pagos han sido efectuadas a las cuentas de los responsables del virus SamSam. La gran mayoría de las organizaciones afectadas (74%) tienen su base en EE.UU. Otros países involucrados son Reino Unido, Bélgica, Canadá, Australia, India, Emiratos Árabes Unidos y otros. La mitad de las computadoras identificadas pertenecían a corporaciones privadas, seguidas por instituciones de salud, gubernamentales y educativas.

“Muchas víctimas descubrieron que no podían recuperarse lo suficiente o lo suficientemente rápido como para garantizar la continuidad del negocio por su cuenta, y pagaron el rescate a regañadientes”, mencionó Sophos.

 

El atacante ha recibido rescates de hasta $ 64.000, según el análisis de los pagos a las billeteras Bitcoin rastreadas. Los cargos han aumentado dramáticamente, y el ritmo no muestra signos de desaceleración.

SamSam es especial dentro de los ransomware

Sophos descubrió que SamSam funcionaba distinto a la mayoría de los ransomware. Generalmente el plan a seguir, por los piratas informáticos, es una distribución masiva del ransomware a través del correo. Sin embargo, los atacantes de SamSam seleccionaron víctima por víctima, enviando emails personalizados. Dicha estrategia le ofrece al cripto virus un mayor porcentaje de éxito.

El primer paso fue explorar la vulnerabilidad de sus víctimas en los sistemas JBOSS para obtener privilegios que les permitirá copiar su ransomware en la red. Una vez solucionado esto, los atacantes utilizaron la Deep Web en busca de listas de servidores vulnerables. Así los hackers poco a poco fueron obteniendo mayores privilegios, hasta convertirse en administradores del dominio y así ingresar a las PC que pretendían atacar. Y como cualquier ransomware, SamSam encripta los datos de la PC, dejando una nota de rescate a la víctima.

Un hecho que enfatizó el reporte es el siguiente: “Desde finales de 2015, SamSam ha venido evolucionando para enfocarse en dos objetivos principales: primero, mejorar el método de implementación para que el impacto de las víctimas sea mayor; segundo, para hacer más difícil el análisis de los ataques, lo que ayuda a mantener en secreto la identidad del atacante”.  

A pesar de las dificultades, Sophos ha decidido invertir sus mayores esfuerzos en rastrear a los criminales; por ello recientemente se asociaron con la firma Neutrino, especialista en monitorear flujos en Blockchain. El par se ha dedicado a rastrear cada transacción de Bitcoin para encontrar víctimas y fondos que faltaban en los informes anteriores.

En total, Sophos y Neutrino identificaron 157 direcciones únicas de Bitcoin que recibieron los rescates. El estudio combinativo también encontró 89 direcciones de Bitcoin que se mencionaron en las notas de rescate, pero que no ganaron dinero en el futuro. En general, los operadores de SamSam usaron tres billeteras, de las cuales solo una está activa hasta la fecha.

A pesar de aun no tener resultados positivos, la compañía de ciberseguridad asegura estar haciendo todo lo posible por obtenerlos lo antes posible.