Neue Erpressersoftware in Krankenhausnetzwerken gefunden

Hackerangriffe auf medizinische Einrichtungen unter Verwendung von Varianten der SamSam-Ransomware sind sprunghaft angestiegen. Im Gegensatz zu traditionellen Verschlüsselungsschädlingen, die auf die Leichtgläubigkeit des individuellen Nutzers bauen, verbreitet sich dieses Schadprogramm auf Windows-Systemen, indem es Sicherheitslücken in den Servern ausnutzt. Zum gegenwärtigen Zeitpunkt greift SamSam ausschließlich Krankenhausnetzwerke an.

„Vor noch nicht allzu langer Zeit waren Erpresserprogramme vom Typ CryptoLocker und TeslaCrypt noch darauf angewiesen, dass irgendwer einen Mail-Anhang öffnete oder auf eine bestimmte Website ging“, erklärt Craig Williams, Senior Technical Leader von Cisco Talos. „SamSam greift verwundbare Server an – sie sind immer aktiv und enthalten dabei potentiell Sicherheitslücken.“

Nach Angaben der Experten erschwert diese neue Verbreitungsart äußerst effektiv die Erkennung und ermöglicht es, der internen Infrastruktur des Unternehmens maximalen Schaden zuzufügen.

Nach den Worten von Williams dringt SamSam mit Hilfe eines Exploits zu bekannten Sicherheitslücken in ungepatchten Servern in die Krankenhausnetzwerke ein. „Die SamSam-Kampagne ist deswegen ungewöhnlich, weil hier die Technik der entfernten Ausführung angewandt wird, anstelle den Nutzer direkt anzugreifen“, schreiben die Forscher im Blog von Cisco Talos. „Die Angreifer nutzen bekannte Sicherheitslücken in ungepatchten JBoss-Servern aus, bevor sie eine Web-Shell installieren, andere, mit dem Netz verbundene Systeme identifizieren und den Erpresser SamSam einschleusen, um dann die Dateien auf diesen Geräten zu verschlüsseln.“

Das Team von Talos hat die Verwendung von JexBoss durch die Angreifer dokumentiert, ein Open-Source-Tool zum Testen und Ausnutzen von Exploits in Jboss Application Servern. So konnten die Cyberkriminellen sich im Krankenhausnetzwerk festsetzen und mit Hilfe von SamSam zur Verschlüsselung der Dateien auf den lebenswichtigen Windows-Systemen schreiten.

Dass die Wahl der Angreifer auf medizinische Einrichtungen fiel, erklären die Forscher damit, dass diese Ziele sich durch einen schwachen Schutz und veraltete Technologien auszeichnen. „Wenn Sie ein Vertreter eines Krankenhauses sind und SamSam Sie noch nicht beunruhigt, dann sollte es langsam anfangen, Sie zu beunruhigen“, erklärte Williams. „Die Wahrscheinlichkeit ist hoch, dass die bösen Jungs Ihr Netz bereits gescannt und es sich vorgemerkt haben.“ Doch der Experte ist auch der Meinung, dass Krankenhäuser erst der Anfang sind und die Betreiber von SamSam schon bald andere Branchen ins Visier nehmen werden.

Was den Schädling selbst betrifft, so startet er auf einem kompromittierten Rechner den Prozess samsam.exe und geht unter Verwendung der Kombination AES-RSA (2048 Bit) zur Verschlüsselung über. Die Virenschreiber haben keine Maßnahmen ergriffen, seine Aktivität im System zu verbergen; SamSam verwendet keinen Packer und ist nicht in der Lage, einen Debugger zu erkennen. Er funktioniert komplett autonom, doch er verzichtet auf die Verschlüsselung von Dateien, wenn die Windows-Version niedriger als Vista ist, vermutlich aufgrund möglicher Kompatibilitätsprobleme.

Die für den Dechiffrierungsschlüssel geforderte Lösegeldsumme kann variieren, beginnend bei einem Bitcoin für ein infiziertes System. Den Opfern wird die Möglichkeit zum Verhandeln via Chat geboten, wobei eine Dechiffrierung en gros, auf allen Maschinen auf einmal mit Rabatt ausgehandelt werden kann, beispielsweise für 22 Bitcoin. Die Forscher hatten den Eindruck, die Erpresser wollen erst einmal austesten, wie viel die Opfer zu zahlen bereit sind. Im Laufe der Ermittlungen entdeckte Talos eine Vielzahl von Bitcoin-Wallets, in die das Lösegeld eingezahlt werden kann. Einige waren leer, in anderen befanden sich bis zu 275 Bitcoin.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.