Ransomware SAMSAM muda do setor da saúde para as escolas

O time de segurança da Cisco, Talos, divulgou outro alerta sobre o ransomware SAMSAM. Dessa vez, passou do ataque ao setor da saúde para o da educação, infectando sistemas escolares por meio das vulnerabilidades JBoss. “Recentemente, uma campanha de ransomware SAMSAM, em grande escala, mudou o cenário de ameaças do ransomware. Visando vulnerabilidades em servidores para propagar ransomware essa é uma nova dimensão de uma já produtiva ameaça”, disse a Cisco em seu blog. Segundo a Equipe de Serviços de RI, a Talos começou a investigar mais o ransomware SAMSAM devido a um feedback de cliente. Um olhar mais detalhado sobre os vetores JBoss os levaram à descoberta de aproximadamente 3,2 milhões de servidores em risco de infecção devido a práticas fracas de correções.

A vulnerabilidade JBoss, que o SAMSAM usou, foi corrigida há muitos anos, porém devido a algumas aplicações não corrigidas, vários sistemas – inclusive o software Learning Destiny Library da Follet – foram atingidos. Mais descobertas levaram à detecção de 2.100 backdoors instalados em 1.600 endereços IP. O software Destiny da Follet é um grande sistema de Gestão de Biblioteca projetado para acompanhar recursos de bibliotecas escolares e é usado em escolas do ensino fundamental em todo o mundo. A Cisco declarou que a Follet apresentou uma resposta impressionante. “Com base em nosso protocolo de segurança de sistemas internos, a Follet identificou o problema e imediatamente tomou medidas para resolver e fechar a vulnerabilidade em nome de nossos clientes. A Follet leva a segurança de dados muito a sério e por isso estamos continuamente monitorando nossos sistemas e software em busca de ameaças, melhorando nosso ambiente de tecnologia para minimizar os riscos das instituições que servimos”, disse a Follet.

A Follet também capturou todos os arquivos que não eram da Destiny que foram apresentados ajudando a remover quaisquer backdoors existentes em nossos sistemas. Além disso, o suporte técnico da Follet também fornecerá medidas de segurança para os clientes que possam ter arquivos suspeitos em seus sistemas. Dada a extensão da ameaça, a Follet estendeu o suporte para garantir que seus clientes aproveitem a correção.

O ransomware evoluiu bastante, de apenas fazer ameaças vazias a sequestrar arquivos, inutilizar sistemas e usar métodos de extorsão como meio de amedrontar as vítimas fazendo-as pagar o resgate. No mês passado, o SAMSAM, também através do JBoss, visou o setor de assistência médica explorando vulnerabilidades no sistema para ganhar acesso shell remoto. Curiosamente, o SAMSAM foi notável devido a sua capacidade de se propagar através de servidores sem patch, diferente do ransomware tradicional que depende de técnicas de engenharia social ou de malvertising. Dessa vez, os agressores encontraram outro setor para visar – as escolas. As escolas são um alvo ideal, não apenas por causa das informações que armazenam, mas porque as escolas têm uma probabilidade maior de ter sistemas de segurança de TI ultrapassados devido a anos de investimento insuficiente.

As soluções de endpoint da Trend Micro como as Trend Micro™ Security, Smart Protection Suites e Worry-Free™ Business Security podem proteger usuários e empresas contra essa ameaça. Políticas de senhas rigorosas e a desabilitar o carregamento automático de macros nos programas Office, juntamente com cronogramas de patching regulares também estão entre as maneiras testadas para manter longe os ransomware. E, apesar da tentativa dessa ameaça de inutilizar os backups de arquivos, ainda é uma defesa eficaz. Além disso, o Trend Micro™ Deep Security fornece uma segurança de servidores avançada para servidores físicos, virtuais e em nuvem. Ele protege aplicações e dados empresariais contra violações e interrupções sem a necessidade de patching emergenciais. Essa plataforma abrangente e centralmente gerenciada ajuda a simplificar as operações de segurança, possibilitando a conformidade regulatória e o ROI de projetos de virtualização e nuvem.