Авторы вымогателя Samas заработали более $450 000 за год

Авторы вымогателя Samas заработали более $450 000 за год

Авторы вымогателя Samas заработали более $450 000 за год

Первые данные о шифровальщике, известном под названиями Samas, SamSa, Kazi или RDN/Ransom, появились в марте 2016 года, когда малварь атаковала ряд американских компаний, в основном работающих в сфере здравоохранения. Вскоре после этого исследователи Microsoft Malware Protection Center сообщили, что корни угрозы уходят в 2015 год.

Специалисты Microsoft объясняли, что Samas отличается от Locky, Cerber и прочих популярных на сегодняшний день вымогателей. Авторы шифровальщика Samas предпочли другую схему работы: они упирают не на количество зараженных пользователей, но прицельно атакуют корпоративные сети. Для этих целей злоумышленники применяют инструменты для пентестов, обнаруживают ненадежные учтенные данные RDP, а также эксплуатируют различные бреши, например, в Java-серверах. Зачастую шифровальщик доставляется в целевые системы в буквальном смысле вручную.

Целями атакующих становятся различные компании и организации, способные выплатить огромный выкуп. Сумма выкупа значительно превышает стандартные требования Locky, CryptoWall и других вымогателей. Чем крупнее компания, тем больше денег требуют хакеры.

В свежем отчете аналитики Palo Alto Networks пишут, что за последние 12 месяцев им удалось обнаружить и исследовать лишь 60 уникальных образцов семейства Samas, что значительно меньше, чем у других шифровальщиков. Для каждой новой атаки злоумышленники используют немного другую версию Samas, часто меняют биткоин-кошельки и усложняют реверс-инжиниринг малвари. Эволюцию версий вредоноса за последний год, в том числе внутренние .NET имена проектов, можно увидеть на иллюстрации ниже.

Отслеживая биткоин-адреса операторов шифровальщика, исследователи Palo Alto Networks сумели подсчитать примерный доход преступной группы. Транзакции были зафиксированы для 19 различных кошельков, и их суммарный объем составил 607 биткоинов, что по текущему курсу равняется приблизительно $450 000. При этом исследователи признают, что у них на руках имеются не все образчики Samas, а в графике платежей, который можно увидеть ниже, присутствует большой пробел (с июня по октябрь 2016 года).

«За прошедший год операторы SamSa не прекращали свои атаки. Они успешно скомпрометировали ряд организаций и продолжают пожинать значительные плоды своих усилий. Так как группировка продолжает зарабатывать деньги, вряд ли в ближайшее время они остановятся», — резюмируют исследователи.

Домен t.me вернули в DNS, но Telegram оживет не у всех сразу

Короткий домен Telegram t.me снова вернулся в строй. Реестр доменной зоны .me восстановил его DNS-записи, а статус serverHold, из-за которого адрес фактически исчез из интернета, был снят. Это значит, что ссылки формата t.me снова должны открываться в браузерах.

Правда, не мгновенно у всех: DNS-записи кешируются у провайдеров и разных служб, поэтому полное восстановление может занять до 24 часов.

Ранее домен внезапно исключили из DNS на уровне реестра .me. В WHOIS у него появился статус serverHold, который устанавливает не регистратор, а оператор доменной зоны. В результате короткие ссылки Telegram перестали работать по всему миру, хотя сам мессенджер продолжал функционировать штатно.

На случай затяжного сбоя Telegram уже начал подменять ссылки t.me на telegram.me внутри своих приложений. Старые адреса при этом продолжали открываться непосредственно в мессенджере, но браузеры отправляли пользователей в цифровую пустоту.

Причины отключения домена до сих пор официально не названы. Неизвестно, был ли это технический сбой, юридический вопрос или ручное решение оператора реестра.

Теперь t.me формально вернулся. Осталось дождаться, пока об этом узнают DNS-серверы по всему миру.

RSS: Новости на портале Anti-Malware.ru