После этого операторы SamSam просто сканировали сеть, чтобы добыть информацию о доступных хостах, на каждый из которых они копировали программу-вымогатель и запускали ее с помощью другого широко распространенного инструмента двойного назначения — PsExec.
Начнем с отчета Group-IB «Программа-вымогатель Egregor: Наследие Maze живо» (Egregor ransomware: The legacy of Maze lives on), соавтором которого был я. Материал доступен по ссылке: https://explore.group-ib.com/ransomware-reports/egregor_wp.
Один из наиболее распространенных методов развертывания — копирование программы-вымогателя через SMB и ее запуск на исполнение с помощью PsExec — легитимного инструмента из пакета SysInternals.
наиболее распространенных инструмента сетевого сканирования, которые используются различными операторами программ-вымогателей, — Advanced IP Scanner и SoftPerfect Network Scanner.
В настоящее время киберпреступники для этого часто применяют трояны (или боты), которые обычно доставляются через спам-письма. В список таких вредоносных программ входят Bazar, Qakbot, Trickbot, Zloader, Hancitor и IcedID.
