Um único ransomware pode ter garantido até US$ 6 milhões de lucro para os seus criadores – ou criador – desde 2015. É o que indica um estudo feito pela empresa de segurança Sophos, que analisou informações referentes à ameaça SamSam que atinge empresas e órgãos governamentais de diversas partes do mundo. Os pesquisadores sugerem que ele pode ser operado por apenas uma pessoa.
O SamSam ganhou bastante notoriedade recentemente quando atingiu órgãos da prefeitura de Atlanta, nos Estados Unidos, deixando serviços públicos indisponíveis durante dias. Quanto infecta uma máquina, o ransomware bloqueia o acesso a todos os arquivos e exige uma recompensa para liberá-los, em uma espécie de sequestro digital.
O estudo da Sophos identificou 233 vítimas do SamSam desde 2015, sendo que apenas 86 delas admitiram publicamente o fato de que pagaram a recompensa exigida pelos hackers. Em média, o desbloqueio das máquinas afetadas pela ameaça custa US$ 50 mil, o que faz a empresa de segurança estimar que os responsáveis tenham lucrado cerca de US$ 6 milhões com o vírus.
O vírus atua de forma diferente de outras ameaças do tipo: em vez de infectar máquinas a partir de e-mails com códigos maliciosos, os hackers invadem sistemas manualmente.
Não há pistas de qual seja a origem do ataque, mas a Sophos especula que ele pode ser inclusive operado por apenas uma pessoa. “A consistência na linguagem nos pedidos de resgate, sites de pagamento e arquivos, combinado com como o conhecimento criminoso parece ter se desenvolvido com o passar do tempo, sugerem que o hacker é uma única pessoa trabalhando sozinha”, diz o estudo.
Apesar do conhecimento em inglês dos hackers ser avançado, alguns erros de gramática dão a entender que essa pode não ser o idioma nativo dos responsáveis pelo ataque, embora não esteja claro de onde ele seja. Entre as vítimas conhecidas do SamSam, 74% são dos Estados Unidos, mas também há relatos de ataques do vírus no Reino Unido, Canadá e Oriente Médio.
O ransomware já passou por ao menos três grandes revisões desde que começou a ser espalhado em 2015, e cada nova versão adiciona novas medidas de proteção para dificultar a identificação da origem dos ataques.