На прошлой неделе мы писали, что от атаки шифровальщика SamSam (он же Samas) пострадала больница Hancock Health, расположенная в Индиане. Хотя тогда медицинское учреждение имело все резервные копии, необходимые для восстановления пострадавших данных, руководство больницы сочло более простым решением проблемы выплату выкупа, так что операторы SamSam стали богаче на 55 000 долларов.
Теперь стало известно о новых атаках SamSam. От атак шифровальщика пострадали муниципальные власти в Фармингтоне, Нью-Мексико, больница Adams Memorial в Индиане, компания Allscripts, занимающаяся электронными медицинскими картами, а также неназванное предприятие, специализирующееся на АСУ ТП.
Во всех случаях данные были зашифрованы, а имена файлов или требование выкупа содержали слово «sorry». Сообщается, что теперь злоумышленники действуют не через фишинговые письма, как это было раньше, но компрометируют уязвимые или плохо настроенные публичные веб-серверы, затем используя их в качестве «точки входа» в системы организаций. К примеру, Hancock Health взломали через RDP. Данный метод еще в прошлом году описывали специалисты компании Symantec.
Издание Bleeping Computer пишет, что атаки начались еще в конце декабря 2017 года. Журналисты подсчитали, что на Bitcoin-кошелек вымогателей с тех пор было перечислено порядка 26 биткоинов (около 300 000 долларов США по текущему курсу). С журналистами и коллегами согласны и исследователи Cisco Talos, которые обнаружили в кошельке преступников уже 30 биткоинов и тоже полагают, что преступники атакуют RDP- и VNC-серверы. Исходя из этих сумм, можно предположить, что на самом деле пострадавших от атак вымогателей даже больше, чем известно официально.