Individuato nuovo cryptoblocker nelle reti informatiche ospedaliere

Gli hacker stanno intensificando i loro attacchi nei confronti dei complessi ospedalieri; i malfattori utilizzano, nella circostanza, una variante del ransomware SamSam. A differenza dei malware crittografici di stampo tradizionale, che si basano, più che altro, sulla mancanza di accortezza da parte del singolo utente, il nuovo cryptoblocker si diffonde sugli OS Windows sfruttando determinate vulnerabilità scoperte nei server. Al momento attuale, SamSam attacca esclusivamente le reti informatiche implementate nelle strutture ospedaliere.

“Nel recente passato, ai programmi ransomware – quali, ad esempio, CryptoLocker e TeslaCrypt – occorreva che qualcuno aprisse l’allegato malevolo presente nel messaggio e-mail, oppure si recasse sul sito appositamente allestito dai malintenzionati, – precisa Craig Williams, senior technical leader presso Cisco Talos. – SamSam attacca i server vulnerabili; questi, di fatto, sono sempre attivi e contengono, potenzialmente, falle di sicurezza”.

Secondo gli esperti, il nuovo metodo di diffusione contrasta in maniera molto efficace il rilevamento da parte delle soluzioni anti-malware, e consente, inoltre, di arrecare il massimo danno all’infrastruttura interna dell’azienda presa di mira.

SamSam, secondo quanto asserisce Craig Williams, penetra all’interno dei network ospedalieri per mezzo di exploit in grado di sfruttare note vulnerabilità presenti nei server privi delle necessarie patch. “La campagna SamSam è davvero inusuale, proprio per il fatto che essa si avvale di una tecnica che prevede l’esecuzione da remoto, anziché l’attacco diretto nei confronti dell’utente, – scrivono i ricercatori nel blog di Cisco Talos. – Gli avversari sfruttano note vulnerabilità individuate nei server JBoss privi delle apposite patch, prima di installare una web shell, identificare altri sistemi connessi alla rete ed introdurre furtivamente, infine, il temibile ransomware SamSam, per realizzare la codifica dei file custoditi su tali dispositivi”.

Il team di Talos ha documentato l’utilizzo, da parte degli attacker, di JexBoss, uno strumento open source, per testare e sfruttare le vulnerabilità presenti nei server di applicazioni JBoss. Questo ha permesso ai malintenzionati di insediarsi saldamente all’interno della rete informatica dell’ospedale, e procedere, poi, mediante l’utilizzo di SamSam, alla cifratura dei file presenti su sistemi Windows di vitale importanza.

La scelta specifica effettuata dagli aggressori – ovvero le strutture ospedaliere – viene spiegata dai ricercatori in ragione del fatto che i target in questione si contraddistinguono, spesso, per un basso livello di protezione IT, così come per l’impiego di tecnologie informatiche ormai obsolete. “Se voi foste il responsabile di una clinica, e il malware SamSam, nonostante tutto, non vi preoccupasse più di tanto, la vostra posizione a tal riguardo sarebbe profondamente sbagliata, – ha affermato con convinzione Craig Williams. – La probabilità che persone malintenzionate abbiano già scansionato la vostra rete, ed abbiano inserito la stessa nell’elenco dei possibili bersagli, è in effetti molto elevata”. L’esperto ritiene, tuttavia, che gli ospedali rappresentino soltanto l’inizio della vicenda; i “padroni” di SamSam cominceranno ben presto ad attaccare anche altri obiettivi.

Per quel che riguarda il malware stesso, il nuovo cryptoblocker avvia sulla macchina compromessa il processo “samsam.exe”, e procede poi alle relative operazioni di codifica, utilizzando la combinazione AES-RSA (2048 bit). I virus writer, da parte loro, non hanno fatto in modo di nascondere le attività nocive svolte da SamSam all’interno del sistema-vittima: il malware, in effetti, non si avvale di utility di compressione, e non è nemmeno in grado di rilevare la presenza di eventuali debugger. Esso opera in maniera completamente autonoma, ma rinuncia ad eseguire l’operazione di cifratura nel caso in cui incontri una versione di Windows inferiore a Vista – verosimilmente allo scopo di evitare possibili problemi di compatibilità.

L’importo relativo al riscatto da pagare per ottenere la necessaria chiave di decrittazione, può variare; è stato comunque fissato, dai malintenzionati, un prezzo iniziale, pari ad 1 bitcoin per ogni sistema infetto. Nella circostanza, alle vittime viene offerta la possibilità di contrattare, tramite un’apposita chat; è persino possibile concordare una decodifica “in blocco”, riguardante, contemporaneamente, tutti i sistemi compromessi dal malware; in tal caso i cybercriminali applicano uno sconto, esigendo, complessivamente, il pagamento di una somma pari a 22 bitcoin. I ricercatori hanno avuto l’impressione che gli attacker, per ora, stiano verificando quante siano, effettivamente, le vittime di SamSam disposte a pagare. Nel corso dell’indagine svolta, Talos ha individuato un elevato numero di wallet Bitcoin – i portafogli digitali contenenti la nota criptomoneta – adibiti alla ricezione del pagamento. Alcuni di essi risultavano “vuoti”; in altri, tuttavia, è stata rilevata la presenza di criptovaluta, per un importo complessivo di 275 bitcoin.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *