Infos

Un nouveau ransomware cible les hôpitaux

Les pirates accélèrent les attaques contre des institutions médicales à l’aide d’une version du malware SamSam. A la différence des ransomwares traditionnels qui comptent sur l’inattention d’un utilisateur individuel, ce malware se propage dans les réseaux Windows en exploitant des vulnérabilités dans les serveurs. A l’heure actuelle, SamSam n’attaque que les réseaux d’hôpitaux.

« Jusqu’il y a peu, les ransomwares du style CryptoLocker et TeslaCrypt devaient compter sur l’ouverture de la pièce jointe d’un message ou sur l’accès à un site » explique Craig Williams, directeur technique de la division Cisco Talos. « SamSam, lui, attaque les serveurs vulnérables, ils sont toujours actifs et peuvent contenir des vulnérabilités. »

D’après les experts, le nouveau mode de livraison est très efficace. Il perturbe la détection et permet de provoquer un maximum de dégâts au sein de l’infrastructure de la société.

D’après Craig Williams, SamSam s’introduit dans les réseaux des hôpitaux via l’exploitation de vulnérabilités connues sur des serveurs où les correctifs n’ont pas été appliqués. « La campagne SamSam est inhabituelle en ce sens où elle utilise la technique de l’exécution à distance au lieu de l’attaque contre un utilisateur » écrivent les chercheurs dans le blog de Cisco Talos. « L’adversaire exploite des vulnérabilités connues dans les serveurs JBoss sans correctifs avant d’installer un shell Internet, d’identifier d’autres systèmes connectés au réseau et d’introduire le ransomware SamSam pour chiffrer les fichiers sur ces dispositifs. »

L’équipe Talos a confirmé que les attaquants de JexBoss utilisaient un outil open source pour tester et exploiter les vulnérabilités dans les applications serveur JBoss. Cela permettait aux individus malintentionnés de consolider leur position dans le réseau de l’hôpital et de passer au chiffrement des fichiers sur des systèmes Windows critiques à l’aide de SamSam.

Les experts expliquent que les attaquants ont choisi des hôpitaux car ce genre d’institution se caractérise par l’utilisation de technologies anciennes et l’adoption d’une protection faible. « Si vous dirigez une clinique et que SamSam ne vous préoccupe pas, vous faites fausse route » déclare Williams. « Il est très probable que les individus malintentionnés ont déjà analysé votre réseau et qu’il sera le prochain sur la liste ». Ceci étant dit, l’expert suppose que les hôpitaux ne sont que le début. Bientôt, les opérateurs de SamSam s’attaqueront à d’autres secteurs.

S’agissant du malware en lui-même, il lance sur l’ordinateur compromis le processus samsam.exe et réalise le chiffrement à l’aide d’une combinaison AES-RSA (2048 bits). Les auteurs de virus n’ont pas pris la peine de masquer l’activité dans le système ; SamSam n’utilise pas de compacteur et il n’est pas en mesure de détecter un débogueur. Il est totalement autonome, mais annule le chiffrement si la version de Windows est antérieure à Vista, visiblement pour des raisons de compatibilité.

Le montant à payer pour obtenir la clé de déchiffrement peut varier, mais le prix de départ est de 1 bitcoin par système infecté. Les victimes peuvent négocier via un chat afin d’obtenir un prix pour le déchiffrement en gros, pour l’ensemble des systèmes et avec une remise, par exemple pour 22 bitcoins. Les chercheurs ont l’impression que les individus malintentionnés vérifient pour l’instant la somme que les victimes de SamSam sont prêtes à payer. Lors de son enquête, Talos a découvert plusieurs portefeuilles bitcoins utilisés pour les paiements. Certains étaient vides, tandis que d’autres comptaient jusqu’à 275 bitcoins.

Fonte: Threatpost

Un nouveau ransomware cible les hôpitaux

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception