Talos, el equipo de seguridad de Cisco, lanzó una nueva advertencia sobre el ransomware SAMSAM. En esta ocasión, el ransomware pasó de atacar a la industria de salud a atacar al sector educativo después de que se descubriera que estaba infectando a los sistemas escolares a través de las vulnerabilidades de JBoss. “Recientemente, una campaña a gran escala de SAMSAM cambió el panorama de las amenazas en lo que se refiere al envío de ransonware. Atacar las vulnerabilidades de los servidores para propagar ransomware es una nueva dimensión para una amenaza ya de por sí prolífica”, dijo Cisco en su blog. De acuerdo con el IR Services Team, Talos comenzó a investigar más sobre el ransomware SAMSAM por los recientes reportes de los clientes. Un análisis más cercano de los vectores de JBoss los llevó al descubrimiento de aproximadamente 3.2 millones de servidores en riesgo de infección debido a las pobres prácticas de parcheo.
La vulnerabilidad de JBoss que SAMSAM utilizó se parchó hace varios años, sin embargo, debido a aplicaciones antiguas y sin parchar, varios sistemas – incluyendo el software Learning Destiny Library de Follet – fueron afectados. Otros hallazgos adicionales llevaron a la detección de 2,100 backdoors instalados en 1,600 direcciones IP. El software Destiny de Follet es un sistema Library Management de gran tamaño diseñado para controlar los recursos de la biblioteca escolar y se utiliza en las escuelas de educación básica de Estados Unidos y de todo el mundo. Cisco dijo que Follet tuvo una respuesta impresionante. “De acuerdo con nuestro protocolo para monitorear la seguridad de los sistemas internos, Follet identificó el problema y de inmediato tomó las medidas para solucionar y cerrar la vulnerabilidad a nombre de nuestros clientes. Follet toma muy en serio la seguridad de los datos y como resultado, estamos monitoreando continuamente nuestros sistemas y software para identificar las amenazas, y mejorando nuestro entorno tecnológico con el objetivo de reducir los riesgos para las industrias a las que servimos”, señaló Follet.
Follet también capturó algunos archivos que no eran Destiny que estaban presentes en el sistema para ayudar a eliminar los backdoors de los sistemas. Además, el soporte técnico de Follet también brindará medidas de seguridad a los clientes que pudieran tener archivos sospechosos en sus sistemas. Dado el alcance de la amenaza, Follet amplía considerablemente el soporte para asegurar que sus clientes aprovechen el parche.
El ransomware ha recorrido un largo camino desde que lanzaba amenazas vacías – con su capacidad de secuestrar archivos y dejar inservibles a los sistemas, y el uso de métodos de extorsión como un medio de infundir temor a las víctimas para que paguen el rescate. El mes pasado, SAMSAM, a través de JBoss también, atacó a la industria de la salud mediante la explotación de las vulnerabilidades del sistema para tener acceso remoto. Resulta interesante que SAMSAM fuera notable gracias a su capacidad de propagarse a través de servidores que no se han parchado, a diferencia del ransomware tradicional que depende de las técnicas de ingeniería social o del malvertising. En esta ocasión, los atacantes descubrieron a otro sector al que atacar: las escuelas. Las escuelas son un blanco ideal no sólo por la información que almacenan, sino porque éstas tienen más probabilidades de tener sistemas de seguridad de TI caducos debido a años de no recibir financiamiento.
Las soluciones de Trend Micro como Trend Micro™ Security, Smart Protection Suites y Worry-Free™ Business Security pueden proteger a los usuarios y empresas contra esta amenaza. Las políticas estrictas de contraseñas y la inhabilitación de la carga automática de macros de los programas de Office, junto con calendarios regulares de aplicación de parches, se encuentran entre las maneras válidas y probadas de mantener el ransomware a raya. Y a pesar de este intento de la amenaza de dejar inservibles los archivos de respaldo, aún es una defensa efectiva. Además, Trend Micro™ Deep Security ofrece seguridad avanzada para servidores físicos, virtuales y de nube. Protege a las aplicaciones empresariales y los datos contra brechas e interrupciones sin necesidad de parches de emergencia. Esta plataforma completa y gestionada centralmente ayuda a simplificar las operaciones de seguridad al tiempo de permitir el cumplimiento regulatorio y acelerar el retorno de la inversión (ROI) de los proyectos de virtualización y de nube.
Leave a Reply