Cosa sapere del ransomware SamSam che ha colpito Allscripts e gli ospedali
Uno dei più recenti attacchi ransomware ha colpito i server RDP e JBoss utilizzando metodi di attacco forzati per ottenere l’accesso al sistema.
Nelle ultime settimane, gli attacchi di SamSam sono costantemente aumentati in tutti i settori. Il virus ha buttato giù l’intero comune di Farmington, New Mexico, e solo la settimana scorsa due ospedali sono stati colpiti, l’Hancock Health e l’Adams Memorial.
Allscripts sembra essere divenuto il primo fornitore EHR abbattuto da ransomware, anche se i funzionari hanno affermato che la variante è leggermente diversa rispetto a quella che ha colpito altre organizzazioni.
Indipendentemente da ciò, si è verificato un grosso aumento degli attacchi SamSam a partire dall’ 11 Gennaio circa, anche se alcuni esperti di sicurezza sostengono che abbiano iniziato ad aumentare già durante il 25 dicembre. Poiché questi attacchi non mostrano segni di arresto, è importante che i leader della sicurezza sanitaria capiscano in che modo il virus riesce ad entrare, così da prevenire la caduta dei loro sistemi telematici.
L’evoluzione di SamSam
Anche se c’ è stato un improvviso aumento degli attacchi, SamSam non è totalmente nuovo. Il virus è comparso per la prima volta nel settore sanitario nel 2016. Non è una variante di ransomware classica, ma piuttosto una specie personalizzata usata per effettuare degli attacchi mirati.
Gli hacker che utilizzano SamSam sono noti per scansionare internet alla ricerca di connessioni RDP aperte e per irrompere in reti sfruttando password deboli o attacchi brute force su questi endpoint. L’ obiettivo è quello di diffondersi su altri dispositivi e computer nella rete.
Per il direttore della privacy e sicurezza del Nord America HIMSS, Lee Kim, l’aspetto più interessante è che il virus non richiede l’invio di e-mail di phishing: gli hacker sfruttano semplicemente macchine prive di patch e una volta entrati nel server, i malintenzionati possono diffondersi su una rete intera.
“La teoria è: il tuo server JBoss è rivolto verso Internet”, ha affermato Kim. “Altre macchine sono dietro un firewall, segmentato, ma il tuo server web e altre macchine potrebbero trovarsi sulla stessa sottorete o su di un altro proxy, che potrebbe così connettersi alla macchina infetta.”
Il server è la porta d’ ingresso, e una volta entrati, gli hacker possono utilizzare la subnet o il protocollo di desktop remoto… e avviare la crittografia dei file, intercettare e rubare le credenziali.”
L’ ultima tensione segue questo metodo d’ attacco: puntare i server RDP rivolti verso l’esterno.
Chi è vulnerabile?
Ci sono alcuni modi diversi con cui un hacker può sfruttare SamSam per entrare in un sistema, spiega Kim. Ad esempio, approfittando di coloro che usano password deboli, “riciclano” le password e non riescono a limitare le credenziali di amministrazione. Uno strumento brute force può facilmente superare delle credenziali deboli per entrare, specialmente se un’organizzazione non è riuscita a limitare il numero di tentativi consentiti da un utente per entrare in un sistema.
Sono inoltre a rischio anche le organizzazioni che non riescono a monitorare un numero “anormale” di tentativi di accesso.
Una delle cose constatate dal Vice Presidente Esecutivo dell’Innovazione Strategica di CynergisTek David Finn è che spesso le organizzazioni installano degli antivirus su laptop, desktop e altre macchine fisiche, ma non riescono a tenere i server al sicuro.
“Deve essere il vostro punto di arrivo”, ha detto Finn. “A volte dimentichiamo che quei server sono ciò a cui si deve puntare.”
Nonostante SamSam sia molto efficace, Finn ha detto, “non è terribilmente sofisticato”.
Il virus si è diffuso attraverso il web, con le applicazioni Java e con le altre applicazioni web-based, ha spiegato Finn. E una volta entrato nel sistema, si diffonde – senza email dannose. SamSam può essere fermato se rilevato prima che entri in un sistema, ma “una volta diffuso: non c’è più nulla da fare.”
“Punta all’efficacia e non alla complessità”, ha detto Finn. “Questa è una di quelle cose che lo rende più insidioso. Può attraversare la rete senza l’intervento umano. Ecco perché la fase di prevenzione diventa più critica. “
Microsoft sta rilasciando un raro aggiornamento di sicurezza di out-of-band per le versioni supportate di Windows. L’ aggiornamento del software fa parte di una serie di correzioni che proteggeranno i computer dalle vulnerabilità dei processori Intel, AMD e ARM recentemente venute allo scoperto. Fonti familiari ai piani di Microsoft rivelano a The Verge che l’azienda emetterà un aggiornamento di Windows che verrà applicato automaticamente su tutte macchine Windows 10 dalle 23:00 di oggi stesso.
D: Il mio computer è bloccato sulla temuta “Blue Screen Of Death” dopo aver installato un aggiornamento di Windows 10, cosa posso fare per far funzionare di nuovo il mio computer?
Uno dei principali punti di discussione del 2017 riguardava gli hacker russi, che erano stati presumibilmente coinvolti nelle fughe di notizie relative alle email di John Podesta, fino al punto di colpire le elezioni presidenziali degli Stati Uniti. Come viene riportato dai più importanti organi di stampa, sembra ora che questi hacker possano spiare i computer in tutto il mondo riguardo alle informazioni riservate, utilizzando 
In mezzo al CES 2018, la vetrina dei nuovi computer, compresi laptop, ibridi 2-in-1, desktop e tablet, era piuttosto asciutta. C’erano alcuni design innovativi e pochi nuovi prodotti di marca che includevano aggiornamenti modesti di tipo interno o esterno alle linee esistenti di Dell, HP, Lenovo o altri.
Le informazioni vitali che dovete sapere sui molto seri exploits CPU Meltdown e Spectre non si riferiscono al fatto se il vostro PC è, per sua natura, vulnerabile o meno a queste minacce – difatti lo è – ma piuttosto se il vostro sistema è stato aggiornato con il patch di correzione per poter assicurare la protezione contro le falle di sicurezza. Purtroppo reperire questo tipo di informazione non è impresa facile. È necessario vagliare i registri degli aggiornamenti, fare controlli incrociati con identificatori di vulnerabilità arcani e codici di base di Microsoft Knowledge – o può darsi tu l’abbia già fatto. 
LAS VEGAS, NV – Alla fine dello scorso anno, all’ evento Snapdragon Tech di Qualcomm nelle Hawaii, abbiamo avuto l’introduzione formale dei primi dispositivi che utilizzavano la nuova piattaforma Windows su piattaforma Snapdragon e abbiamo ricevuto un assaggio del sogno di Qualcomm di portare la tecnologia mobile sui computer portatili per fornire dei PC “Sempre Connessi”, collegati tramite una connessione dati LTE. Qualcomm commercializza i lati positivi di questa tecnologia, tra cui la possibilità di fornire computer portatili con 20hrs + di durata della batteria attraverso l’utilizzo di un processore smartphone, e attraverso il lavoro svolto con Microsoft, grazie alla quale hanno ottenuto una versione completa di Windows ottimizzata per la loro soluzione. I dispositivi utilizzano applicazioni native per ottenere le migliori prestazioni attraverso Windows Store, ma le applicazioni a 32 bit sono tradotte dalla macchina stessa in istruzioni che Snapdragon SoC è in grado di elaborare. Si tratta di un sacco di tecnologia per essere contenuta in un dispositivo piccolo, e Qualcomm potrà essere il primo produttore di CPU a lanciare effettivamente la traduzione x86 nel mercato consumer.