Μια νέα οικογένεια ransomware έχει εμφανιστεί στο προσκήνιο προκαλώντας σημαντική ζημιά σε εταιρικά δίκτυα, με τη Microsoft και το FBI να προειδοποιούν για τον ολοένα αυξανόμενο κίνδυνο που διατρέχουν οι οργανισμοί και οι επιχειρήσεις.
Το FBI, με ανακοίνωση που εξέδωσε στην ιστοσελίδα του, προειδοποιεί τις εταιρείες των ΗΠΑ για τους κινδύνους που εγκυμονεί αυτή η νέα απειλή.
Γνωστό και ως Samas, Κazi, ή RDN/Ransom, το συγκεκριμένο ransomware είναι ενεργό τους τελευταίους τρεις μήνες, και εκτός από τις επιθέσεις έναντι χρηστών σε Ευρώπη, Κίνα και Ινδία, έχει κάνει αισθητή την παρουσία του κυρίως στις ΗΠΑ,
Το Samas αξιοποιεί το λογισμικό διακομιστή JBoss για να εξαπλωθεί στο εκάστοτε μολυσμένο δίκτυο
Σύμφωνα με το Μalware Protection Center της Microsoft, οι επιθέσεις του Samas ξεκινούν όταν οι εισβολείς ανιχνεύσουν έναν ευάλωτο διακομιστή. Το FBI αναφέρει ότι στις περισσότερες περιπτώσεις επηρεάζονται διακομιστές που τρέχουν παλαιότερες εκδόσεις του JBoss, ενώ η Microsoft προσθέτει ότι οι εισβολείς αξιοποιούν επίσης τρωτά σημεία σε εφαρμογές Java που κάνουν χρήση μη ασφαλών JNI (Java Native Interface).
Αφότου παραβιάσουν και διεισδύσουν σε ένα ευάλωτο διακομιστή, οι απατεώνες πίσω από το Samas χρησιμοποιούν ένα εργαλείο ανοικτού κώδικα με την ονομασία reGeorg για να σαρώσουν και, στη συνέχεια, να χαρτογραφήσουν τα εσωτερικά δίκτυα.
Οι επιτιθέμενοι στη συνέχεια εγκαθιστούν το RAT Derusbi (Bladabindi) στο μολυσμένο διακομιστή. Το συγκεκριμένο trojan συγκεντρώνει πληροφορίες σύνδεσης για τους clients του δικτύου, και στη συνέχεια, χρησιμοποιώντας ένα εργαλείο με την ονομασία psexec.exe, αλλά και μια σειρά από scripts, φορτώνει το ransomware Samas στους υπολογιστές του εσωτερικού δικτύου.
Το Samas χρησιμοποιεί ισχυρή κρυπτογράφηση RSA-2048
Μόλις διεισδύσει στους υπολογιστές των θυμάτων, το Samas ξεκινά την αναζήτηση data files, στοχεύοντας αρχεία με συγκεκριμένες επεκτάσεις, και στη συνέχεια κρυπτογραφεί το περιεχόμενό τους κάνοντας χρήση του αλγόριθμου RSA-2048.
Η επέκταση “encrypted.RSA” προστίθεται στο τέλος κάθε μολυσμένου αρχείου, ενώ σε κάθε φάκελο προστίθεται και ένα σημείωμα για τους χρήστες, ζητώντας τους λύτρα για την αποκρυπτογράφηση των αρχείων.
Το Samas ζητά 1 Bitcoin (το οποίο αντιστοιχεί σε περίπου 400 δολάρια) για κάθε μολυσμένο υπολογιστή και απαιτεί την καταβολή των λύτρων μέσω μιας ιστοσελίδας που φιλοξενείται στο δίκτυο Tor.
Όπως τονίζουν οι ερευνητές το συγκεκριμένο ransomware είναι άκρως επικίνδυνο, ενώ έχει αναπτυχθεί και διευθύνεται από ανθρώπους με προηγμένες τεχνικές δεξιότητες και μεγάλη εμπειρία στην δημιουργία και διαχείριση ransomware εκστρατειών.
