Was du über die SamSam Ransomware wissen musst, die Allscript und Krankenhäuser getroffen hat

Die letzte Welle von Ransomware Angriffen hatte es auf RDP und JBoss Server abgesehen und nutzte Brute-Force-Angriffe um Zugang zum System zu erhalten.

In den letzten Wochen, haben SamSam Ransomware Angriffe in allen Bereichen stetig zugenommen. Der Virus hat die komplette Stadtverwaltung von Farmington, New Mexico, lahmgelegt und erst letzte Woche waren zwei Krankenhäuser betroffen — Hancock Health und Adams Memorial.

Allscripts scheint der erste Anbieter von elektronischen Patientenakten zu sein, der von der Ransomware lahmgelegt wurde, allerdings wurde von offizieller Seite gesagt, dass die Software nicht ganz die gleiche ist, die die andere Organisationen betroffen hat.

Dessen ungeachtet scheint die Zahl der Angriffe mit SamSam seit dem 11. Januar angestiegen zu sein, auch wenn einige Sicherheitsexperten den Beginn am 25. Dezember sehen. Da diese Angriffe keine Anstalten machen nachzulassen, ist es wichtig für die Sicherheitsbeauftragten im Gesundheitswesen zu verstehen, wie der Virus Zugriff erhält – dadurch können sie verhindern, ihm auch zum Opfer zu fallen.

Entwicklung von SamSam

Auch wenn es eine plötzliche Zunahme an Angriffen gab, ist SamSam keine neu Entwicklung. Der Virus ist erstmals im Jahr 2016 im Gesundheitswesen zum Vorschein gekommen. Es ist keine Standard-Ransomware, sondern eine spezielle Version, die für gezielte Angriffe genutzt wird.

SamSam Hacker sind dafür bekannt, das Internet nach offenen RDP Verbindungen zu suchen und in Netzwerke einzudringen, indem sie entweder schwache Passwörter ausnutzen, oder Brute-Force-Angriffe auf diese Zugangspunkte durchführen. Das Ziel ist es, sich auf weitere Geräte und Computer im Netzwerk auszubreiten.

Für den Direktor für Datenschutz und Sicherheit bei HIMSS Nordamerika, Lee Kim, ist es interessant, dass der Virus keine Phishing E-Mails nutzt, um Zugang zu erhalten: Die Hacker nutzen nur Geräte aus, die nicht auf dem neuesten Stand sind. Und sobald die Hacker auf den Server vorgedrungen sind, kann der Virus sich durch ein ganzes Netzwerk verbreiten.

„Die Theorie ist wie folgt: Dein JBoss server ist extern mit dem Internet verbunden,“ so Kim. „Andere Geräte sind hinter einer Firewall, abgeschieden. Aber dein Webserver und andere Geräte können mit dem gleichen Teilnetz oder Proxy verbunden sein, welche sich mit dem infizierten Gerät verbinden können.“

„Der Server ist der Zugangspunkt, und sobald sie dort eingedrungen sind, können Hacker das Teilnetz oder Fernzugriff auf andere Computer nutzen … und damit beginnen, Dateien zu verschlüsseln, Informationen auszuspionieren und Zugangsdaten zu stehlen.“

Und die neueste Variante folgt genau dieser Angriffsmethode: Sie greift RDP Server an, die nach außen verbunden sind.

Wer ist angreifbar?

Es gibt verschiedene Wege, auf denen Hacker SamSam nutzen können, um Zugriff auf ein System zu erhalten, erklärt Kim. Zum Beispiel gibt es die, die schwache Passwörter ausnutzen sowie wiederholt verwendete Passwörter oder die Tatsache, dass Adminrechte nicht eingeschränkt werden. Ein Brute-Force-Angriff kann schwache Zugangsdaten knacken um Zugriff zu erhalten, vor allem wenn ein Unternehmen es versäumt hat, die Anzahl der fehlgeschlagenen Zugriffsversuche zu begrenzen.

Unter nehmen die es auch versäumen, eine ungewöhnlich hohe Anzahl an Versuchen zu überwachen, sind ebenfalls gefährdet.

Eines der Dinge die dem Vizepräsident für Strategische Neuerungen von CynergisTek, David Finn, aufgefallen sind, ist dass Unternehmen oft Virenschutz auf Laptops, Desktopcomputern und anderen Geräten haben, es aber versäumen ihre Server mit einem Virenschutz zu sichern.

„Er muss auf allen deinen Geräten sein,“ sagt Finn. „Wir vergessen manchmal, dass auch Server zu den Geräten zählen.“

Auch wenn SamSam sehr effektiv ist, sagt Finn, „es ist nicht sehr hoch entwickelt.“

Der Virus wird durch das Internet und Java Apps verteilt, sowie einige andere Internet-basierte Programme, erklärt Finn. Und sobald es in ein System gerät, verbreitet es sich — ohne den Einsatz von infizierten E-Mails. SamSam kann gestoppt werden, wenn es erkannt wird, bevor es in ein System gerät. Aber „wenn es sich erst einmal verbreitet hat, ist alles aus.“

„Das spricht für Effektivität, nicht hohe Entwicklung,“ sagt Finn. „Das ist eines der Dinge, die es noch heimtückischer machen. Es kann das Netzwerk ohne das Zutun von Menschen nutzen. Deshalb wird die Vorsorge hier besonders kritisch.“


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.