Ransomware udnytter hul i JBoss

Artiklen blev oprindeligt publiceret den 19/4/2016

Afpressere udnytter programmet Samsam til at kryptere ofrenes data og kræve løsepenge. Programmet spredes via JBoss-servere, der ikke er opdateret med sikkerhedsrettelser.

Applikationsserveren JBoss er ramt af sårbarheder i Apache Commons-collections. Red Hat lukkede hullerne i november.

Sikkerhedsforskere fra Cisco Talos har via scanninger fundet frem til 3,2 millioner servere, der ikke har installeret opdateringerne og dermed er sårbare.

Firmaet fandt også over 2.100 bagdøre, der var installeret på sårbare servere.

Bagdørene var af typen webshell, som lader en angriber fjernstyre serveren fra en browser. På de fleste kompromitterede JBoss-servere var der installeret mere end en webshell. Det tyder på, at forskellige angribere har hacket sig ind på maskinerne for senere at kunne misbruge dem.

Samsam udnytter sårbarheden til at installere sig på JBoss-serveren. Derefter går programmet i gang med at kryptere filer på pc'er, der er forbundet til serveren. Ofrene afkræves løsepenge i form af bitcoins, hvis de vil have nøglen, der kan dekryptere dataene.

Anbefaling
Installer alle sikkerhedsopdateringer til JBoss.

Links