News

Neue Erpressersoftware in Krankenhausnetzwerken gefunden

Hackerangriffe auf medizinische Einrichtungen unter Verwendung von Varianten der SamSam-Ransomware sind sprunghaft angestiegen. Im Gegensatz zu traditionellen Verschlüsselungsschädlingen, die auf die Leichtgläubigkeit des individuellen Nutzers bauen, verbreitet sich dieses Schadprogramm auf Windows-Systemen, indem es Sicherheitslücken in den Servern ausnutzt. Zum gegenwärtigen Zeitpunkt greift SamSam ausschließlich Krankenhausnetzwerke an.

„Vor noch nicht allzu langer Zeit waren Erpresserprogramme vom Typ CryptoLocker und TeslaCrypt noch darauf angewiesen, dass irgendwer einen Mail-Anhang öffnete oder auf eine bestimmte Website ging“, erklärt Craig Williams, Senior Technical Leader von Cisco Talos. „SamSam greift verwundbare Server an – sie sind immer aktiv und enthalten dabei potentiell Sicherheitslücken.“

Nach Angaben der Experten erschwert diese neue Verbreitungsart äußerst effektiv die Erkennung und ermöglicht es, der internen Infrastruktur des Unternehmens maximalen Schaden zuzufügen.

Nach den Worten von Williams dringt SamSam mit Hilfe eines Exploits zu bekannten Sicherheitslücken in ungepatchten Servern in die Krankenhausnetzwerke ein. „Die SamSam-Kampagne ist deswegen ungewöhnlich, weil hier die Technik der entfernten Ausführung angewandt wird, anstelle den Nutzer direkt anzugreifen“, schreiben die Forscher im Blog von Cisco Talos. „Die Angreifer nutzen bekannte Sicherheitslücken in ungepatchten JBoss-Servern aus, bevor sie eine Web-Shell installieren, andere, mit dem Netz verbundene Systeme identifizieren und den Erpresser SamSam einschleusen, um dann die Dateien auf diesen Geräten zu verschlüsseln.“

Das Team von Talos hat die Verwendung von JexBoss durch die Angreifer dokumentiert, ein Open-Source-Tool zum Testen und Ausnutzen von Exploits in Jboss Application Servern. So konnten die Cyberkriminellen sich im Krankenhausnetzwerk festsetzen und mit Hilfe von SamSam zur Verschlüsselung der Dateien auf den lebenswichtigen Windows-Systemen schreiten.

Dass die Wahl der Angreifer auf medizinische Einrichtungen fiel, erklären die Forscher damit, dass diese Ziele sich durch einen schwachen Schutz und veraltete Technologien auszeichnen. „Wenn Sie ein Vertreter eines Krankenhauses sind und SamSam Sie noch nicht beunruhigt, dann sollte es langsam anfangen, Sie zu beunruhigen“, erklärte Williams. „Die Wahrscheinlichkeit ist hoch, dass die bösen Jungs Ihr Netz bereits gescannt und es sich vorgemerkt haben.“ Doch der Experte ist auch der Meinung, dass Krankenhäuser erst der Anfang sind und die Betreiber von SamSam schon bald andere Branchen ins Visier nehmen werden.

Was den Schädling selbst betrifft, so startet er auf einem kompromittierten Rechner den Prozess samsam.exe und geht unter Verwendung der Kombination AES-RSA (2048 Bit) zur Verschlüsselung über. Die Virenschreiber haben keine Maßnahmen ergriffen, seine Aktivität im System zu verbergen; SamSam verwendet keinen Packer und ist nicht in der Lage, einen Debugger zu erkennen. Er funktioniert komplett autonom, doch er verzichtet auf die Verschlüsselung von Dateien, wenn die Windows-Version niedriger als Vista ist, vermutlich aufgrund möglicher Kompatibilitätsprobleme.

Die für den Dechiffrierungsschlüssel geforderte Lösegeldsumme kann variieren, beginnend bei einem Bitcoin für ein infiziertes System. Den Opfern wird die Möglichkeit zum Verhandeln via Chat geboten, wobei eine Dechiffrierung en gros, auf allen Maschinen auf einmal mit Rabatt ausgehandelt werden kann, beispielsweise für 22 Bitcoin. Die Forscher hatten den Eindruck, die Erpresser wollen erst einmal austesten, wie viel die Opfer zu zahlen bereit sind. Im Laufe der Ermittlungen entdeckte Talos eine Vielzahl von Bitcoin-Wallets, in die das Lösegeld eingezahlt werden kann. Einige waren leer, in anderen befanden sich bis zu 275 Bitcoin.

Quelle: Threatpost

Neue Erpressersoftware in Krankenhausnetzwerken gefunden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach