Ransomware som attackerar företagets servrar
För flera år sedan drabbades den amerikanska sjukhuskedja Medstar av ett elakt ransomware. Delar av verksamheten i de tio sjukhusen lamslogs efter att gisslanprogrammet krypterat bland annat mejlservern och databasen med patientjournaler.
Det ransomware som användes i attacken går under namnet Samsam, Samas eller Samsa och struntar blankt i enskilda datorer. Istället går det direkt på företagets servrar.
Läs också: Enkelt att skicka bluffmejl från svenska storföretag
Samsam riktar in sig på servrar som kör äldre, ouppdaterade versioner av Red Hats JBoss-applikationer. Angriparna hittar sårbara servrar med hjälp av verktyget Jexboss, och utnyttjar sedan brister i mjukvaran för att få åtkomst till servrarna. Därefter sätter programmen ingång med att kryptera filer.
Därigenom kan ransomwaret få tillgång till många fler filer än normalt, och resultatet blir lätt betydligt värre än om utpressarna krypterar enskilda användares datorer.
”De senaste attackernas framgångar tyder på en förändring hos cyberbrottslingar somnu försöker maximera sina vinster genom att sikta in sig på sårbara företag”, skriver Symantec i ett blogginlägg.
Läs också: Allvarligt fel i vanliga routrar öppnar för kapad internettrafik
Tidigare har ransomware oftast spridits till enskilda datorer via bluffmejl eller falska nedladdningar på nätet. Även om Samsam har en specifikt servermiljö kan metoden bli vanligare i framtiden.
“Ransomware har visat sig vara en fungerande affärsmodell, så det borde inte förvåna någon att de har gått vidare från elaksinnat spam och nedladdningar till att mer påminna om riktade attacker”, skriver Symantec.
Efter attacken mot Medstar gick även FBI ut med en varning till amerikanska företag, och bad samtidigt om hjälp att kartlägga hur många som drabbats av Samsam enligt dokument som Reuters tagit del av.
