Хакеры активизируют атаки на медицинские учреждения, используя вариант вымогательского ПО SamSam. В отличие от традиционных шифровальщиков, полагающихся на легкомыслие индивидуального пользователя, данный зловред раздается на Windows-системы посредством эксплуатации уязвимостей в серверах. На настоящий момент SamSam атакует лишь больничные сети.

«В недалеком прошлом вымогателям вроде CryptoLocker и TeslaCrypt было нужно, чтобы кто-то открыл вложение в письмо или зашел на сайт, — поясняет Крейг Уильямс (Craig Williams), старший технический руководитель подразделения Cisco Talos. — SamSam атакует уязвимые серверы, они всегда активны и при этом потенциально содержат уязвимости».

По свидетельству экспертов, новый способ доставки весьма эффективно препятствует детектированию и позволяет причинить максимальный ущерб внутренней инфраструктуре компании.

SamSam, по словам Уильямса, проникает в больничные сети посредством эксплойта известных уязвимостей в непропатченных серверах. «SamSam-кампания необычна тем, что использует технику удаленного исполнения вместо атаки на пользователя, — пишут исследователи в блоге Cisco Talos. — Противник эксплуатирует известные уязвимости в непропатченных серверах JBoss, прежде чем установить веб-шелл, идентифицировать другие подключенные к сети системы и внедрить вымогателя SamSam для осуществления шифрования файлов на этих устройствах».

Команда Talos зафиксировала факт использования атакующими JexBoss, open-source-инструмента для тестирования и эксплойта уязвимостей в JBoss-серверах приложений. Это позволило злоумышленникам закрепиться в больничной сети и приступить к шифрованию файлов на жизненно важных Windows-системах с помощью SamSam.

Выбор атакующих — лечебные учреждения — исследователи объясняют тем, что такие мишени отличаются слабой защитой и устаревшими технологиями. «Если вы — представитель клиники и SamSam при этом вас не волнует, это в корне неверная позиция, — заявил Уильямс. — Высока вероятность, что плохие парни уже просканировали вашу сеть и взяли ее на карандаш». Тем не менее эксперт полагает, что больницы — это только начало, повелители SamSam вскоре начнут атаковать и другие вертикали.

Что касается самого зловреда, он запускает на скомпрометированной машине процесс samsam.exe и приступает к шифрованию, используя комбинацию AES-RSA (2048 бит). Скрывать его активность в системе вирусописатели не стали; SamSam не использует упаковщик и не способен обнаружить отладчик. Работает он вполне автономно, но отменяет шифрование, если версия Windows ниже Vista — видимо, из-за возможных проблем с совместимостью.

Сумма выкупа за ключ для расшифровки может быть различной при стартовой цене 1 биткойн за одну зараженную систему. Жертвам предоставляется возможность торга с помощью чата, при этом можно договориться о расшифровке оптом, на всех системах разом и со скидкой (к примеру, за 22 биткойна). У исследователей сложилось впечатление, что злоумышленники пока проверяют, сколько жертв SamSam захотят платить. В ходе расследования Talos обнаружила множество Bitcoin-кошельков, принимающих оплату. Некоторые из них были пустыми, на других числилось до 275 биткойнов.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры