Un nouveau ransomware cible les hôpitaux

Les pirates accélèrent les attaques contre des institutions médicales à l’aide d’une version du malware SamSam. A la différence des ransomwares traditionnels qui comptent sur l’inattention d’un utilisateur individuel, ce malware se propage dans les réseaux Windows en exploitant des vulnérabilités dans les serveurs. A l’heure actuelle, SamSam n’attaque que les réseaux d’hôpitaux.

« Jusqu’il y a peu, les ransomwares du style CryptoLocker et TeslaCrypt devaient compter sur l’ouverture de la pièce jointe d’un message ou sur l’accès à un site » explique Craig Williams, directeur technique de la division Cisco Talos. « SamSam, lui, attaque les serveurs vulnérables, ils sont toujours actifs et peuvent contenir des vulnérabilités. »

D’après les experts, le nouveau mode de livraison est très efficace. Il perturbe la détection et permet de provoquer un maximum de dégâts au sein de l’infrastructure de la société.

D’après Craig Williams, SamSam s’introduit dans les réseaux des hôpitaux via l’exploitation de vulnérabilités connues sur des serveurs où les correctifs n’ont pas été appliqués. « La campagne SamSam est inhabituelle en ce sens où elle utilise la technique de l’exécution à distance au lieu de l’attaque contre un utilisateur » écrivent les chercheurs dans le blog de Cisco Talos. « L’adversaire exploite des vulnérabilités connues dans les serveurs JBoss sans correctifs avant d’installer un shell Internet, d’identifier d’autres systèmes connectés au réseau et d’introduire le ransomware SamSam pour chiffrer les fichiers sur ces dispositifs. »

L’équipe Talos a confirmé que les attaquants de JexBoss utilisaient un outil open source pour tester et exploiter les vulnérabilités dans les applications serveur JBoss. Cela permettait aux individus malintentionnés de consolider leur position dans le réseau de l’hôpital et de passer au chiffrement des fichiers sur des systèmes Windows critiques à l’aide de SamSam.

Les experts expliquent que les attaquants ont choisi des hôpitaux car ce genre d’institution se caractérise par l’utilisation de technologies anciennes et l’adoption d’une protection faible. « Si vous dirigez une clinique et que SamSam ne vous préoccupe pas, vous faites fausse route » déclare Williams. « Il est très probable que les individus malintentionnés ont déjà analysé votre réseau et qu’il sera le prochain sur la liste ». Ceci étant dit, l’expert suppose que les hôpitaux ne sont que le début. Bientôt, les opérateurs de SamSam s’attaqueront à d’autres secteurs.

S’agissant du malware en lui-même, il lance sur l’ordinateur compromis le processus samsam.exe et réalise le chiffrement à l’aide d’une combinaison AES-RSA (2048 bits). Les auteurs de virus n’ont pas pris la peine de masquer l’activité dans le système ; SamSam n’utilise pas de compacteur et il n’est pas en mesure de détecter un débogueur. Il est totalement autonome, mais annule le chiffrement si la version de Windows est antérieure à Vista, visiblement pour des raisons de compatibilité.

Le montant à payer pour obtenir la clé de déchiffrement peut varier, mais le prix de départ est de 1 bitcoin par système infecté. Les victimes peuvent négocier via un chat afin d’obtenir un prix pour le déchiffrement en gros, pour l’ensemble des systèmes et avec une remise, par exemple pour 22 bitcoins. Les chercheurs ont l’impression que les individus malintentionnés vérifient pour l’instant la somme que les victimes de SamSam sont prêtes à payer. Lors de son enquête, Talos a découvert plusieurs portefeuilles bitcoins utilisés pour les paiements. Certains étaient vides, tandis que d’autres comptaient jusqu’à 275 bitcoins.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *