News

Individuato nuovo cryptoblocker nelle reti informatiche ospedaliere

Gli hacker stanno intensificando i loro attacchi nei confronti dei complessi ospedalieri; i malfattori utilizzano, nella circostanza, una variante del ransomware SamSam. A differenza dei malware crittografici di stampo tradizionale, che si basano, più che altro, sulla mancanza di accortezza da parte del singolo utente, il nuovo cryptoblocker si diffonde sugli OS Windows sfruttando determinate vulnerabilità scoperte nei server. Al momento attuale, SamSam attacca esclusivamente le reti informatiche implementate nelle strutture ospedaliere.

“Nel recente passato, ai programmi ransomware – quali, ad esempio, CryptoLocker e TeslaCrypt – occorreva che qualcuno aprisse l’allegato malevolo presente nel messaggio e-mail, oppure si recasse sul sito appositamente allestito dai malintenzionati, – precisa Craig Williams, senior technical leader presso Cisco Talos. – SamSam attacca i server vulnerabili; questi, di fatto, sono sempre attivi e contengono, potenzialmente, falle di sicurezza”.

Secondo gli esperti, il nuovo metodo di diffusione contrasta in maniera molto efficace il rilevamento da parte delle soluzioni anti-malware, e consente, inoltre, di arrecare il massimo danno all’infrastruttura interna dell’azienda presa di mira.

SamSam, secondo quanto asserisce Craig Williams, penetra all’interno dei network ospedalieri per mezzo di exploit in grado di sfruttare note vulnerabilità presenti nei server privi delle necessarie patch. “La campagna SamSam è davvero inusuale, proprio per il fatto che essa si avvale di una tecnica che prevede l’esecuzione da remoto, anziché l’attacco diretto nei confronti dell’utente, – scrivono i ricercatori nel blog di Cisco Talos. – Gli avversari sfruttano note vulnerabilità individuate nei server JBoss privi delle apposite patch, prima di installare una web shell, identificare altri sistemi connessi alla rete ed introdurre furtivamente, infine, il temibile ransomware SamSam, per realizzare la codifica dei file custoditi su tali dispositivi”.

Il team di Talos ha documentato l’utilizzo, da parte degli attacker, di JexBoss, uno strumento open source, per testare e sfruttare le vulnerabilità presenti nei server di applicazioni JBoss. Questo ha permesso ai malintenzionati di insediarsi saldamente all’interno della rete informatica dell’ospedale, e procedere, poi, mediante l’utilizzo di SamSam, alla cifratura dei file presenti su sistemi Windows di vitale importanza.

La scelta specifica effettuata dagli aggressori – ovvero le strutture ospedaliere – viene spiegata dai ricercatori in ragione del fatto che i target in questione si contraddistinguono, spesso, per un basso livello di protezione IT, così come per l’impiego di tecnologie informatiche ormai obsolete. “Se voi foste il responsabile di una clinica, e il malware SamSam, nonostante tutto, non vi preoccupasse più di tanto, la vostra posizione a tal riguardo sarebbe profondamente sbagliata, – ha affermato con convinzione Craig Williams. – La probabilità che persone malintenzionate abbiano già scansionato la vostra rete, ed abbiano inserito la stessa nell’elenco dei possibili bersagli, è in effetti molto elevata”. L’esperto ritiene, tuttavia, che gli ospedali rappresentino soltanto l’inizio della vicenda; i “padroni” di SamSam cominceranno ben presto ad attaccare anche altri obiettivi.

Per quel che riguarda il malware stesso, il nuovo cryptoblocker avvia sulla macchina compromessa il processo “samsam.exe”, e procede poi alle relative operazioni di codifica, utilizzando la combinazione AES-RSA (2048 bit). I virus writer, da parte loro, non hanno fatto in modo di nascondere le attività nocive svolte da SamSam all’interno del sistema-vittima: il malware, in effetti, non si avvale di utility di compressione, e non è nemmeno in grado di rilevare la presenza di eventuali debugger. Esso opera in maniera completamente autonoma, ma rinuncia ad eseguire l’operazione di cifratura nel caso in cui incontri una versione di Windows inferiore a Vista – verosimilmente allo scopo di evitare possibili problemi di compatibilità.

L’importo relativo al riscatto da pagare per ottenere la necessaria chiave di decrittazione, può variare; è stato comunque fissato, dai malintenzionati, un prezzo iniziale, pari ad 1 bitcoin per ogni sistema infetto. Nella circostanza, alle vittime viene offerta la possibilità di contrattare, tramite un’apposita chat; è persino possibile concordare una decodifica “in blocco”, riguardante, contemporaneamente, tutti i sistemi compromessi dal malware; in tal caso i cybercriminali applicano uno sconto, esigendo, complessivamente, il pagamento di una somma pari a 22 bitcoin. I ricercatori hanno avuto l’impressione che gli attacker, per ora, stiano verificando quante siano, effettivamente, le vittime di SamSam disposte a pagare. Nel corso dell’indagine svolta, Talos ha individuato un elevato numero di wallet Bitcoin – i portafogli digitali contenenti la nota criptomoneta – adibiti alla ricezione del pagamento. Alcuni di essi risultavano “vuoti”; in altri, tuttavia, è stata rilevata la presenza di criptovaluta, per un importo complessivo di 275 bitcoin.

Fonte: Threatpost

Individuato nuovo cryptoblocker nelle reti informatiche ospedaliere

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox