Контакты
Подписка
МЕНЮ
Контакты
Подписка

3,2 млн публичных JBoss-серверов уязвимы к атакам с использованием шифровальщика SamSam

3,2 млн публичных JBoss-серверов уязвимы к атакам с использованием шифровальщика SamSam

3,2 млн публичных JBoss-серверов уязвимы к атакам с использованием шифровальщика SamSam


19.04.2016



 

В процессе мониторинга Сети исследователи безопасности подразделения Cisco Talos выявили порядка 3,2 млн публично доступных серверов, находящихся под угрозой риска инфицирования вымогательским ПО SamSam. Как и прочие представители данного типа, вредонос шифрует файлы и требует выкуп за восстановление доступа к контенту.

 Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. В ходе исследования специалисты выявили 2100 скомпрометированных серверов, связанных с более полутора тысяч IP-адресов, принадлежащих образовательным учреждениям, госструктурам, авиационным компаниям и прочим организациям. По словам исследователей, злоумышленники внедрили на серверы бэкдор, позволяющий полностью контролировать систему. Потенциально данные системы могут находиться на стадии ожидания передачи вредоносного кода с C&C-сервера атакующих, отмечают эксперты Cisco Talos.

 На ряде инфицированных систем используется ПО Follett Destiny, применяемое для организации доступа учащимся и учителям к ресурсам школьных библиотек. Разработчик уже выявил и устранил уязвимость в программном обеспечении.

 По словам исследователей, судя по всему, атаки совершаются несколькими группами злоумышленников, на что указывает внедрение различных бэкдоров: mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3l, Inovkermngrt и jbot. Среди признаков, свидетельствующих о получении преступниками контроля над системой, упоминается появление сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class.

Источник:
securitylab.ru