Ransomware som attackerar företagets servrar

I slutet på mars drabbades den amerikanska sjukhuskedja Medstar av ett elakt ransomware. Delar av verksamheten i de tio sjukhusen lamslogs efter att gisslanprogrammet krypterat bland annat mejlservern och databasen med patientjournaler.

Det ransomware som användes i attacken går under namnet Samsam, Samas eller Samsa och struntar blankt i enskilda datorer. Istället går det direkt på företaget servrar.

Läs också: Enkelt att skicka bluffmejl från svenska storföretag

Samsam riktar in sig på servrar som kör äldre, ouppdaterade versioner av Red Hats JBoss-applikationer. Angriparna hittar sårbara servrar med hjälp av verktyget Jexboss, och utnyttjar sedan brister i mjukvaran för att få åtkomst till servrarna. Därefter sätter programmen ingång med att kryptera filer.
Därigenom kan ransomwaret få tillgång till många fler filer än normalt, och resultatet blir lätt betydligt värre än om utpressarna krypterar enskilda användares datorer.

Medstar är inte den enda organisation som råkat ut för krypterade servrar. Bara de senaste månaderna har det rapporterats om ett sjukhus i Hollywood betalade nyligen 140 000 kronor för att få tillbaka sina filer, och om en polisavdelning i Massachusetts som fick punga ut över fyra miljoner kronor av samma anledning. De här fallen är en del av växande trend enligt säkerhetsföretaget Symantec.

”De senaste attackernas framgångar tyder på en förändring hos cyberbrottslingar somnu försöker maximera sina vinster genom att sikta in sig på sårbara företag”, skriver Symantec i ett blogginlägg.

Läs också: Allvarligt fel i vanliga routrar öppnar för kapad internettrafik

Tidigare har ransomware oftast spridits till enskilda datorer via bluffmejl eller falska nedladdningar på nätet. Även om Samsam har en specifikt servermiljö kan metoden bli vanligare i framtiden.

“Ransomware har visat sig vara en fungerande affärsmodell, så det borde inte förvåna någon att de har gått vidare från elaksinnat spam och nedladdningar till att mer påminna om riktade attacker”, skriver Symantec.

Efter attacken mot Medstar gick även FBI ut med en varning till amerikanska företag, och bad samtidigt om hjälp att kartlägga hur många som drabbats av Samsam enligt dokument som Reuters tagit del av.