Tento přístup zaměřený na člověka se ukázal jako úspěšný, přičemž útočníkům stojícím za ransomwarem SamSam umožnil v průběhu tří let shromáždit přibližně 6,5 milionu dolarů. Útoky probíhaly stylem vloupání a ze strategických účelů se děly v době, kdy oběti spaly, což naznačuje, že útočník nejprve provedl průzkum obětí a pečlivě plánoval na koho, jak, kde a kdy je vhodné útoky provést. Během těchto útoků se počítačoví zločinci zaměřují na slabé vstupní body a hrubou silou se snaží prolomit hesla typu RDP (Remote Desktop Protocol). Jakmile jsou uvnitř, pohybují se laterálně a krok za krokem pracují na tom, aby ukradli administrátorská práva domény, manipulovali s interními ovládacími prvky, zakázali zálohování a další věci s cílem manuálně nasadit ransomware. Ve chvíli, kdy si většina IT manažerů všimne, co se děje, je již škoda způsobena. Inspirovalo to i další kybernetické zločince a v roce 2019 tak očekáváme další podobné útoky.
Na základě výzkumu společnosti Sophos jsme předpokládali, že dle stupně provozní bezpečnosti, kterou zločinci použili, se jednalo o malou skupinu lidí. Na „podzemních“ webových fórech se nechovali vychloubačně nebo hlučně, což je typické pro mnoho amatérů.
Některé z gramatických a interpunkčních chyb, které Sophos zaznamenal, se mohlo vyskytnout proto, že útočníci nejsou rodilými mluvčími anglického jazyka. Doba kompilace vzorků, které jsme analyzovali, odpovídá Teheránskému časovému pásmu GMT + 3:30, přičemž i „pracovní doba“ útočníků byla v souladu s tímto časovým pásmem.
Zpráva Sophos SamSam a Zpráva o hrozbách pro rok 2019 podrobně vysvětlují, jak zločinci v rámci útoků fungovali. Jejich TTP (Tactics, Techniques and Procedures) neboli styl práce byl unikátní a využíval několik velmi zajímavých ochranných opatření, která se postupně vyvíjela. Je smutné, že inspirovali celou novou generaci útoků, které používají stejnou taktiku proti dalším velkým a středně velkým organizacím. Sophos podrobně uvádí okamžité kroky, které musí podniky učinit ve svých reportech o SamSamu a zprávě SophosLabs 2019 Threat, a to nejen proto, že jsou tito kybernetičtí zločinci stále na útěku, ale i proto, že inspirovali další, kteří jdou v jejich stopách.
Tento případ ukazuje, že žádné množství škodlivého kódu, skrytých operací a kryptoměny nemůže skrýt zločince před naší schopností je identifikovat a obžalovat z krádeže pomocí vydírání nevinných lidí. Identifikací Bitcoin peněženek spojených s touto trestnou činností tyto v podstatě označili za jed. Každý, kdo se snaží pomáhat při praní těchto kryptoměn a jejich výměně za skutečné peníze, se stane spolupachatelem zločinů, které byly spáchány.”
– Chester Wisniewski, hlavní výzkumný analytik společnosti Sophos, globální společnosti zabývající se kybernetickou bezpečností