O JBoss Exploit Compromete Mais de 2.000 Computadores nas Escolas Ensino Fundamental e Médio Espalhando o Samsam Ransomware
Quase todos os dias ocorre um evento monumental devido às forças destrutivas das ameaças recentes ao ransomware. Deixando sua marca no meio de abril, está a exploração do JBoss, que infectou mais de 2.000 computadores localizados principalmente nas escolas, entre outras organizações.
Os sistemas infectados pelo JBoss não estão apenas enfrentando notificações de resgate e criptografia de arquivos, mas os computadores infectados estão sendo instruídos por um servidor remoto a infectar outros computadores com o SamSam Ransomware. Como já sabemos, o Samsam ransomware é uma ameaça de propagação automática que evoluiu para o que chamamos de CryptoWorms.
Com mais de 2.000 computadores infectados servindo como um exército virtual, como um botnet, para entregar e infectar outros computadores com o ransomware Samsam, poderíamos estar à beira de uma nova pandemia de ransomware com propagação automática. De acordo com a organização de inteligência contra ameaças Talos da Cisco, cerca de 3,2 milhões de sistemas em todo o mundo estão em risco de infecção pela última campanha de exploração de ransomware.
A questão iminente de como e por que a maioria dos computadores nas escolas de ensino fundamental e médio infectados com o JBoss espalham o Samsam Ransomware tem uma resposta simples. Convenientemente, os sistemas direcionados nas escolas de ensino fundamental e médio executam o software de gerenciamento de bibliotecas Destiny da Follett. No software de Follett executado nos sistemas escolares, há uma vulnerabilidade que está sendo explorada nas versões 9.0 a 13.5, que abrange milhares de escolas. Embora Follett tenha fornecido um patch para que seu software corrija e feche a vulnerabilidade, ainda existe um campo de escolas que possuem o software desatualizado ou que já foram comprometidas a ponto de seus sistemas serem controlados remotamente para espalhar o Samsam.
Os sistemas comprometidos pelo JBoss e sob o controle de seus servidores geralmente possuem mais de um shell da Web. As implicações disso podem significar que os servidores de controle foram comprometidos várias vezes por diferentes hackers ou cibercriminosos. Ao saber disso, ele nos diz que os invasores que já comprometeram um servidor podem controlá-lo remotamente, dando aos cibercriminosos a capacidade de girar e mover lateralmente em uma rede interna.
Quaisquer hosts comprometidos associados aos servidores explorados pelo JBoss devem ser retirados imediatamente, ou isso deixa a possibilidade de outras pessoas abusarem do servidor de várias maneiras diferentes. Embora o JBoss tenha sido o culpado do caso de espalhar o Samsam Ransomware no passado, a última campanha para explorar os sistemas escolares poderia reprimir a ameaça com consequências ainda maiores.
Atualmente, quase milhares de escolas foram colocadas em alerta máximo e aconselhadas a atualizar seu software Follett. Além disso, espera-se que o surto do Samsam Ransomware atinja mais hospitais e outras organizações sem fins lucrativos. Os mesmos métodos de extorquir dinheiro de usuários de computadores e administradores de sistemas são válidos para o Samsam. É do interesse de uma empresa ou escola executar medidas proativas para impedir a ameaça do Samsam, em vez de lidar com suas travessuras de auto-propagação e grandes taxas para recuperar arquivos.