思科(Cisco)旗下的威脅情報組織(Talos)近日發現一鎖定醫院發動攻擊的Samsam勒索軟體家族,有別於其他勒索軟體多採行目標式攻擊,Samsam會先入侵醫院伺服器,再伺機散布到位於醫院網路的各個機器上。
Talos指出,目前只在醫療產業發現Samsam家族的蹤跡,顯示它只鎖定該產業。
駭客先透過開放源碼的JexBoss等工具來尋找及開採醫院JBoss應用伺服器上的安全漏洞,並以所入侵的伺服器作為攻擊據點,滲透到醫院網路後再以Samsam來感染網路上的Windows電腦。
Samsam會加密Windows電腦上的多種檔案格式,但只相容於Windows Vista之後的系統。特別的是,駭客還建立了對話管道以與受害者談判,受害者可選擇支付1個比特幣來解密單一系統,或是支付更多比特幣來解密所有的系統,駭客也會提供一次解密所有系統較優惠的價格。不過,駭客偶而也會提高每個系統的勒索金額到1.5或1.7個比特幣。
Talos追蹤到駭客所使用的多個比特幣錢包,發現所勒索的金額已高達275個比特幣,約等於11.5萬美元。
資安專家指出,醫療院所成為駭客目標的最大原因在於醫院通常沒有足夠的資安保護措施,而且使用陳舊的軟/硬體設備,建議醫療產業應該正視資安問題。