Cosa sapere del ransomware SamSam che ha colpito Allscripts e gli ospedali

Uno dei più recenti attacchi ransomware ha colpito i server RDP e JBoss utilizzando metodi di attacco forzati per ottenere l’accesso al sistema.

Nelle ultime settimane, gli attacchi di SamSam sono costantemente aumentati in tutti i settori. Il virus ha buttato giù l’intero comune di Farmington, New Mexico, e solo la settimana scorsa due ospedali sono stati colpiti, l’Hancock Health e l’Adams Memorial.

Allscripts sembra essere divenuto il primo fornitore EHR abbattuto da ransomware, anche se i funzionari hanno affermato che la variante è leggermente diversa rispetto a quella che ha colpito altre organizzazioni.

Indipendentemente da ciò, si è verificato un grosso aumento degli attacchi SamSam a partire dall’ 11 Gennaio circa, anche se alcuni esperti di sicurezza sostengono che abbiano iniziato ad aumentare già durante il 25 dicembre. Poiché questi attacchi non mostrano segni di arresto, è importante che i leader della sicurezza sanitaria capiscano in che modo il virus riesce ad entrare, così da prevenire la caduta dei loro sistemi telematici.

L’evoluzione di SamSam

Anche se c’ è stato un improvviso aumento degli attacchi, SamSam non è totalmente nuovo. Il virus è comparso per la prima volta nel settore sanitario nel 2016. Non è una variante di ransomware classica, ma piuttosto una specie personalizzata usata per effettuare degli attacchi mirati.

Gli hacker che utilizzano SamSam sono noti per scansionare internet alla ricerca di connessioni RDP aperte e per irrompere in reti sfruttando password deboli o attacchi brute force su questi endpoint. L’ obiettivo è quello di diffondersi su altri dispositivi e computer nella rete.

Per il direttore della privacy e sicurezza del Nord America HIMSS, Lee Kim, l’aspetto più interessante è che il virus non richiede l’invio di e-mail di phishing: gli hacker sfruttano semplicemente macchine prive di patch e una volta entrati nel server, i malintenzionati possono diffondersi su una rete intera.

“La teoria è: il tuo server JBoss è rivolto verso Internet”, ha affermato Kim. “Altre macchine sono dietro un firewall, segmentato, ma il tuo server web e altre macchine potrebbero trovarsi sulla stessa sottorete o su di un altro proxy, che potrebbe così connettersi alla macchina infetta.”

Il server è la porta d’ ingresso, e una volta entrati, gli hacker possono utilizzare la subnet o il protocollo di desktop remoto… e avviare la crittografia dei file, intercettare e rubare le credenziali.”

L’ ultima tensione segue questo metodo d’ attacco: puntare i server RDP rivolti verso l’esterno.

Chi è vulnerabile?

Ci sono alcuni modi diversi con cui un hacker può sfruttare SamSam per entrare in un sistema, spiega Kim. Ad esempio, approfittando di coloro che usano password deboli, “riciclano” le password e non riescono a limitare le credenziali di amministrazione. Uno strumento brute force può facilmente superare delle credenziali deboli per entrare, specialmente se un’organizzazione non è riuscita a limitare il numero di tentativi consentiti da un utente per entrare in un sistema.

Sono inoltre a rischio anche le organizzazioni che non riescono a monitorare un numero “anormale” di tentativi di accesso.

Una delle cose constatate dal Vice Presidente Esecutivo dell’Innovazione Strategica di CynergisTek David Finn è che spesso le organizzazioni installano degli antivirus su laptop, desktop e altre macchine fisiche, ma non riescono a tenere i server al sicuro.

“Deve essere il vostro punto di arrivo”, ha detto Finn. “A volte dimentichiamo che quei server sono ciò a cui si deve puntare.”

Nonostante SamSam sia molto efficace, Finn ha detto, “non è terribilmente sofisticato”.

Il virus si è diffuso attraverso il web, con le applicazioni Java e con le altre applicazioni web-based, ha spiegato Finn. E una volta entrato nel sistema, si diffonde – senza email dannose. SamSam può essere fermato se rilevato prima che entri in un sistema, ma “una volta diffuso: non c’è più nulla da fare.”

“Punta all’efficacia e non alla complessità”, ha detto Finn. “Questa è una di quelle cose che lo rende più insidioso. Può attraversare la rete senza l’intervento umano. Ecco perché la fase di prevenzione diventa più critica. “

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *