เว็บไซต์ Threatpost ซึ่งเป็นเว็บไซต์รายงานข่าวด้านความปลอดภัยของ Kaspersky Lab รายงานว่ากำลังพบการแพร่ระบาดของ ransomware สองตัวใหม่ที่มีชื่อว่า SamSam และ Maktub ซึ่งมุ่งเป้าไปยังเครื่องแม่ข่ายที่ให้บริการ (server) ของสถานพยาบาล (เช่น โรงพยาบาล คลินิก) ต่างๆ

ransomware ทั้งสองตัว ถูกระบุโดยผู้เชี่ยวชาญจาก Cisco Talos ว่ามีพฤติกรรมที่แปลกออกไปจาก ransomware ปกติ โดยอาศัยการโจมตีเครื่องแม่ข่ายจากช่องโหว่ที่มีอยู่ แทนที่จะใช้อีเมลซึ่งเป็นการโจมตีในแบบเดิม โดยจากรายงานระบุว่าใช้ช่องโหว่ที่มีบน JBoss ระบบ application server ที่พัฒนาโดย Red Hat จากนั้นแฮกเกอร์จะทำการเข้ามาตรวจดูว่ามีข้อมูลใดที่สำคัญจากระยะไกล (remote execution) ก่อนจะสั่งเข้ารหัส ซึ่งกลุ่มที่มีความเสี่ยงมากที่สุดที่จะโดนคือสถานพยาบาลต่างๆ

ส่วนผู้เชี่ยวชาญจาก Check Point บริษัทด้านความปลอดภัยอีกแห่งระบุว่า พฤติกรรมของ ransomware ทั้งสองตัวนี้ สามารถเข้ารหัสได้แบบ offline โดยที่ไม่ต้องติดต่อกับระบบส่วนกลาง นอกจากนั้นในกรณีของ Maktub ก็มีการบีบอัดไฟล์ให้มีขนาดเล็กลงก่อนเข้าหัสด้วย โดยคาดการณ์ว่าเราอาจจะเห็น ransomware แบบนี้มากขึ้นในอีกไม่กี่เดือนข้างหน้า

ที่มา - Threatpost