Security managementSicurezza

Samsam, il ransomware che “cavalca” JBoss

Silicon è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Silicon l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche Silicon realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

Samsam è un cryto-ransomware che sfrutta una vulnerabilità di JBoss per “conquistare” i server aziendali e da questi infettare i computer della rete

Come molti altri malware, anche i ransomware che cifrano i contenuti dei dischi sono di solito distribuiti attraverso attività di phishing oppure con attacchi cosiddetti drive-by, ossia quelli in cui basta un banner fatto ad hoc visualizzato in un browser per avviare – “grazie” a una qualche vulnerabilità software – lo scaricamento di un componente che poi scaricherà altro software ostile. Ora però Symantec segnala la diffusione di Samsam (noto anche come Samas o Samsa), che adotta un sistema di attacco più insidioso.

Invece di puntare sulla vulnerabilità dei PC da infettare o sulla poca accortezza di chi apre i messaggi di phishing, Samsam attacca direttamente i server delle aziende: esamina le installazioni di Red Hat JBoss alla ricerca di alcune sue vulnerabilità da sfruttare per avere accesso ai server stessi. Ottenuto questo accesso, dal server “presidiato” gli attaccanti usano vari tool e script per raccogliere informazioni sui computer della rete e grazie a queste informazioni riescono a infettare i computer stessi con un crypto-ransomware. Inoltre, come altra differenza con i ransomware classici, la coppia di chiavi usate per la cifratura dei PC colpiti viene generata direttamente dal malware e non ricevuta da altri server di comando e controllo.

La schermata ricattatoria di Cryptolocker
La schermata ricattatoria di Cryptolocker, il ransomware forse più famoso

Samsam, secondo Symantec, è la testimonianza che chi progetta attacchi via ransomware sta spostando la sua attenzione dai PC degli utenti generici ai server aziendali in modo da massimizzare il profitto delle operazioni di attacco. Il ransomware ha dimostrato di avere un suo “modello di business” profittevole e appare quindi logico che gli hacker ostili vogliano applicarlo anche alle imprese, che mediamente hanno più interesse economico a recuperare i propri dati rispetto ai privati.

Le aziende che usano JBoss devono applicare ovviamente le necessarie patch per evitare le vulnerabilità della piattaforma. Secondo quanto segnala Red Hat, le versioni minime di JBoss Enterprise Application Platform (EAP) e di JBoss SOA-Platform (SOA-P) da usare per essere sicuri di non avere vulnerabilità sono per EAP le 5.0.1, 4.3 CP08 e 4.2 CP09 e per SOA-P le 5.0.1 e 4.3 CP03.