SamSam Ransomware ทำรายได้ไปแล้วกว่า 190 ล้านบาท

Sophos ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้จัดทำรายงานเกี่ยวกับเรื่องของ SamSam Ransomware อย่างละเอียดซึ่งเก็บข้อมูลจากการโจมตีที่เกิดขึ้น การเข้าไปคุยกับเหยื่อ และ Data-mining ทั้งแบบสาธารณะและส่วนบุคคลที่เกี่ยวกับตัวอย่างของ SamSam ที่อาจจะหายไปอย่างเงียบๆ โดยพบว่า Ransomware ตัวนี้สามารถทำเงินได้กว่า 5.9 ล้านเหรียญสหรัฐฯ หรือราว190 ล้านบาท นับตั้งแต่เริ่มปฏิบัติการปลายปี 2015

credit : Bleepingcomputer.com

ผู้เสียหาย

จากการติดตามที่อยู่ Bitcoin ทีมนักวิจัยคาดว่าน่าจะมีผู้ยอมจ่ายค่าไถ่ไปกว่า 233 คน ซึ่ง 86 คนกล้าที่จะเผยว่าตนจ่ายเงินค่าไถ่กับสาธารณะและยอมให้ทางทีมงานเก็บโปรไฟล์ได้ สถิติที่น่าสนใจจากเหยื่อทั้ง 86 คนมีดังนี้

  • เหยื่ออยู่ในหลายประเทศ เช่น สหรัฐฯ สหราชอาณาจักร เบลเยี่ยม และ แคนนาดา
  • สัดส่วนการประกอบธุรกิจของเหยื่อตามประเภทคือ ครึ่งหนึ่งของผู้จ่ายเงินค่าไถ่คือบริษัทเอกชน ประมาณ 25% มาจากลุ่ม Healthcare 13% เป็นตัวแทนรัฐบาล และสุดท้าย 11% มาจากสถาบันการศึกษา
  • จากการติดตามที่อยู่ Bitcoin ดังปรากฏในโน๊ตการจ่ายค่าไถ่พบว่า 157 ที่อยู่ Bitcoin มีการรับเงินและอีก 88 ที่อยู่ไม่เคยรับเงิน
  • SamSam ทำเงินไปทั้งหมด 5.9 ล้านเหรียญสหรัฐฯ
  • มักจะมีเหยื่ออย่างน้อย 1 คนต่อวันและ 25% ของเหยื่อจะยอมจ่ายค่าไถ่
  • ผู้ร้ายมักย้ายเงินต่อไปหลายบัญชีในวันที่ได้เงิน บางครั้งเหยื่อก็จะจ่ายเงินไปครึ่งหนึ่งก่อนซึ่งคนร้ายก็จะรอให้เหยื่อจ่ายเงินครบแล้วค่อยย้ายเงินทีเดียว
  • มีครั้งที่ทำเงินได้มากสุดในครั้งเดียวกว่า 64,000 เหรียญสหรัฐฯ ซึ่งมากกว่าการเรียกค่าไถ่ธรรมดาที่อยู่ระหว่าง 200 ถึง 1,000 เหรียญสหรัฐฯ

พฤติกรรมของ SamSam Ransomware

ความต่างกับ Ramsomware ตัวอื่นคือมันไม่เคยถูกกระจายไปจำนวนมากทาง อีเมล โฆษณาอันตราย หรือปล่อยไปกับซอฟต์แวร์และเว็บอัปเดตปลอม ผู้ร้ายมักจ้องเล่นงานเหยื่อครั้งละ 1 คนเท่านั้น ซึ่งในตอนเริ่มต้นผู้โจมตีเล็งไปยังบริษัทเป้าหมายด้วยช่องโหว่ของเซิร์ฟเวอร์ JBoss ที่สามารถเข้าถึงผ่านอินเทอร์เน็ตและยังไม่ได้แพตช์ระบบ ต่อมาเมื่อเริ่มล้าสมัยก็หันไปทำ Brute-force ในเครือข่ายที่มีการเชื่อมต่อของ RDP แทน เมื่อเข้าไปได้แล้วผู้ร้ายจะสแกนระบบอย่างละเอียดเพื่อศึกษาภาพของระบบและจะใช้เครื่องมือหลากหลายเพื่อขยายวงการเข้าถึงจากเซิร์ฟเวอร์ไปยังเครื่องอื่นๆ เมื่อเข้าถึงได้ตามที่ต้องการแล้วผู้ร้ายจะรอช่วงวันหยุดสุดสัปดาห์หรือกลางคืนเพื่อเริ่มการโจมตี จากนั้นจะเข้ารหัสเครื่องเหยื่อและแสดงโน๊ตเรียกค่าไถ่เพื่อให้จ่ายเงินสำหรับการแก้ไขเครื่องบางส่วนหรือจะจ่ายเพื่อแก้ไขให้ทุกเครื่องก็ได้ แต่โฆษกของ Sophos บอกว่าเหยื่อส่วนใหญ่มักจะยอมจ่ายเงินทั้งหมดทีเดียว

คนร้ายที่อยู่เบื้องหลัง

Sophos พบว่ามีอย่างน้อย 3 เวอร์ชันของ Ransomware ตัวนี้จะพัฒนาการป้องกันขึ้นเรื่อยๆ เพื่อไม่ให้นักวิจัยด้านความมั่นคงปลอดภัยมาวิเคราะห์การทำงานภายในได้ นอกจากนี้ยังพบว่าคนร้ายคอยระวังตัวเพิ่มมากขึ้น ด้วยการเปลี่ยนไซต์การจ่ายเงินลงไปยัง Dark Web และใช้โค้ดที่ซับซ้อนมากขึ้นด้วย หลังจากปฏิบัติการมาแล้วกว่า 3 ปี ทั้งนักวิจัยและหน่วยงานทางกฏหมายก็ยังหาตัวการไม่เจอ อย่างไรก็ตามทางรายงานของ Sophos เชื่อว่าผู้ปฏิบัติการเบื้องหลังนั้นน่าจะมาจากคนเพียงคนเดียวมากกว่าเป็นกลุ่ม

สามารถติดตามรายงานฉบับเต็มของ SamSam Ransomware ได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/samsam-ransomware-crew-made-nearly-6-million-from-ransom-payments/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ