Onder meer de FBI en Red Hat waarschuwden de afgelopen weken voor ransomare die rechtstreeks servers bedreigt. Aanvallers gebruiken verschillende methoden om binnen te komen, onder meer de aloude manier om een pentesttool te gebruiken om kwetsbaarheden te vinden of door secundaire malware in te zetten om credentials te bemachtigen.

Standaardconfiguraties vatbaar

In een voorbeeld van Microsoft wordt een netwerk afgetast op zoek naar een ongepatchte server - in het geval van Red Hat's JBoss gaat het om servers waarbij een standaardconfiguratie wordt gehanteerd waarin het authenticatieproces niet is aangepast. Kortom, de aanval is mogelijk bij systemen die verouderd, ongepatcht en onzorgvuldig geconfigureerd zijn.

Red Hat raadde onlangs aan om uiteraard altijd de laatste patch direct toe te passen en op z'n minst om ervoor te zorgen een niet-kwetsbare versie van JBoss EAP te gebruiken, te weten:

  • Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
  • Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
  • Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

Het interessante aan Samas/A is dan ook niet zozeer de aanval op JBoss, maar de gerichte aanpak om malware direct af te leveren binnen het netwerk. Dat kennen we uiteraard al langer van 'gewone' malware, maar met back-up-aanvallende ransomware is dat geëvolueerd naar een nog lastiger op te ruimen incident wanneer het zich voltrekt binnen een organisatie.

Geen ouderwetse malware

Aanvallers hebben de gebruiker niet meer nodig en de ransomware communiceert ook niet met een command-and-control-server. De aanvallers zetten een tunnel naar de kwetsbare server op met een tool als reGeorg en voeren zelf direct het versleutelingsproces uit.

Meestal als je leest over ransomware, voltrekken infecties zich via gebruikers via bijvoorbeeld exploitpagina's en malafide bijlages. Een infectie met bijvoorbeeld Locky in zakelijke IT-systemen is dan ook vaak het gevolg van gaten in patchbeleid, back-up-beleid en securitybeleid.

De soorten die nu in opkomst zijn, komen van criminelen die inzien dat er fors meer te verdienen valt aan bedrijven, omdat die met veel hogere bedragen - er zijn voorbeelden van organisaties die tienduizenden dollars betaalden - over de brug komen dan doorsnee gebruikers. Criminelen zullen daarom dit soort zakelijke ransomware meer ontwikkelen en uitbaten.