Netwerkgigant Cisco heeft op internet ruim 2.000 gehackte JBoss-servers ontdekt die van een backdoor zijn voorzien waardoor een aanvaller zeer schadelijke ransomware op het netwerk kan verspreiden en bedrijven zo kan platleggen. Het gaat om de Samas-ransomware, ook bekend als Samsam.
Een groot aantal organisaties, waaronder de FBI, Microsoft en Intel Security, heeft voor de ransomware gewaarschuwd. In tegenstelling tot traditionele ransomware wordt Samas via gerichte aanvallen verspreid. Aanvallers gebruiken hiervoor kwetsbare JBoss-applicaties en -servers. Vervolgens wordt de server gehackt en het achterliggende netwerk met ransomware geïnfecteerd.
Ook proberen de aanvallers aanwezige back-ups te verwijderen. Door deze werkwijze kan Samas complete bedrijfsnetwerken lamleggen.
Ook het losgeld dat de ransomware vraagt is veel hoger dan wat andere varianten vragen en kan tot 17.000 euro oplopen. Verschillende getroffen organisaties zouden volgens Cisco al 100.000 euro bij elkaar hebben betaald om hun bestanden terug te krijgen. Aangezien bekend is hoe de aanvallers achter Samas te werk gaan besloot Cisco het internet naar kwetsbare JBoss-servers te scannen. Dit leverde 3,2 miljoen machines op die risico lopen. 2100 servers bleken al te zijn gehackt en waren voorzien van een backdoor die aanvallers in staat stelt om ransomware te verspreiden. Het gaat om servers van scholen, overheden, luchtvaartbedrijven en andere organisaties.
Patchen
Hoewel het om allerlei verschillende organisaties gaat is er volgens Cisco bij alle incidenten één rode draad, namelijk het niet installeren van beveiligingsupdates. Alle getroffen organisaties hadden hun software niet up-to-date. "Patchen is een belangrijk onderdeel van softwarebeheer. Het wordt door zowel gebruikers als softwareontwikkelaars genegeerd", zegt Alexander Chiu van Cisco. Zolang dit niet wordt opgelost blijven dit soort aanvallen voorkomen en succesvol zijn. Doordat er nu ook ransomware in het spel is, kunnen de gevolgen voor zowel kleine als grote bedrijven catastrofaal zijn, aldus Chiu. Microsoft besloot deze week om de in Windows ingebouwde virusverwijdertool MSRT te updaten zodat die ook in staat is om de Samas-ransomware te herkennen.
Bron: Security.nl