Bilgi teknolojilerine yönelik evrensel bir tehdide dönüşen fidye yazılımları (ransomware), en korkulan siber saldırılar arasında ilk sırada yer alıyor. Günümüzün en ciddi fidye saldırıları arasında yer alan SamSam üzerinde Sophos’un yaptığı detaylı araştırmalar, durumun düşünülenden çok daha ciddi olduğunu, SamSam’ın şimdiye dek fidye tehdidiyle topladığı paranın 6 milyon dolara yaklaştığını ortaya koydu.
Bugüne kadar çoğu fidye yazılımı üreticisi, tehdidi yaygınlaşmak için gelişigüzel spam kampanyalarıyla yüz binlerce kullanıcıya aynı anda ulaşma ve birilerinin tuzağa düşmesini bekleme yolunu tercih ediyordu. Böylece tuzağa düşen kullanıcılardan birkaç yüz dolar gibi küçük ödemeler alarak, büyük gelirlere ulaşmayı umuyorlardı.
Kısa sürede günümüzün en korkulan siber tehditleri arasına giren SamSam ise farklı bir yol izliyor. SamSam’ı diğerlerinden ayıran, sistemlere sızma konusunda yetenekli bir kişi veya grubun hedeflenen kurum veya şirketin ağına sızarak ağdaki zayıflıkları tespit etmesi ve zararlı yazılımı elle çalıştırması. Böylece saldırı, söz konusu kurumun bilgi sistemleri altyapısına en kısa sürede en fazla zararı verecek biçimde kurgulanabiliyor. Böyle ince planlanmış bir saldırı karşılığında istenen fidye on binlerce doları buluyor.
Basit bir gasp soyguncusu yerine adeta profesyonel elmas hırsızı gibi davranan SamSam, fidye talebi öncesinde ağın kritik noktaları ele geçirildiği için kurumun alabileceği önlemlere ve güvenlik yazılımlarına karşı gerçek zamanlı olarak engelleyici stratejiler geliştirilmesine olanak sağlıyor. Şifreleme süreci bir nedenle kesintiye uğrarsa, bu kez yazılım kendini tamamen imha ederek saldırıyı kimin yaptığına dair geride hiçbir iz bırakmıyor.
Özenle tasarlanmış bir şifreleme aracı olan SamSam bulaştığı sistemlerde sadece kullanıcı dosyalarını değil, Windows işletim sisteminin ve uygulamaların çalışmak için rutin olarak ihtiyaç duymadığı, çoğu zaman yedeği alınmayan dosyaları da şifreliyor. Bu nedenle sistemleri düzeltmek sadece yedeğin yerine koyulmasını değil, işletim sistemi ve uygulamaların da yeniden kurulmasını gerektiriyor.
Sophos’un SamSam üzerinde yaptığı analizler, saldırganların arkalarında iz bırakmama konusunda son derece paranoyak olduğuna ve bunun için her saldırıda kullandıkları araçlara ve web sitelerine yönelik yeni önlemler aldıklarına işaret ediyor.
