Программа-вымогатель eCh0raix теперь нацелена на устройства QNAP и Synology NAS

74
Ваш интернет работает нестабильно.

Недавно обнаруженный вариант программы-вымогателя eCh0raix добавил поддержку шифрования устройств QNAP и Synology Network-Attached Storage (NAS).

Этот штамм вымогателя (также известный как QNAPCrypt) впервые появился в июне 2016 года после того, как жертвы начали сообщать об атаках в теме форума BleepingComputer .

Программа-вымогатель поразила устройства NAS от QNAP несколькими волнами, две из которых были зарегистрированы в июне 2019 года и в июне 2020 года .

eCh0raix также зашифровал устройства, созданные Synology в 2019 году , при этом исследователи Anomali обнаружили, что злоумышленники взломали учетные данные администратора путем перебора, используя учетные данные по умолчанию или словарные атаки.

В то время производитель NAS предупредил своих клиентов, чтобы они защищали свои данные от продолжающейся крупномасштабной кампании вымогателей. Однако он не назвал операцию вымогателя, ответственную за атаки.

Цели, установленные для клиентов Synology и QNAP

Хотя в прошлом он нацелился на устройства QNAP и Synology в рамках отдельных кампаний, исследователи безопасности подразделения 42 Palo Alto Networks заявили в опубликованном сегодня отчете, что eCh0raix начал объединять функции для шифрования обоих семейств NAS, начиная с сентября 2020 года.

«До этого у злоумышленников, вероятно, были отдельные кодовые базы для кампаний, нацеленных на устройства от каждого из поставщиков», — сказал Unit 42.

Как они далее выяснили, операторы программ-вымогателей используют CVE-2021-28799 (уязвимость, обеспечивающую злоумышленникам доступ к жестко закодированным учетным данным, также известным как бэкдор-аккаунт) для шифрования устройств QNAP — тот же недостаток был использован в крупномасштабной кампании Qlocker в Апреля.

Злоумышленники используют грубую силу, чтобы доставить полезные данные программы-вымогателя на устройства Synology NAS, пытаясь угадать обычно используемые учетные данные администратора (та же тактика, использованная в кампании Synology 2019, упомянутой выше).

Несмотря на то, что компания Synology не подключила его напрямую к программе-вымогателю eCh0raix, на прошлой неделе компания Synology выпустила рекомендацию по безопасности, в которой клиентам сообщалось, что ботнет StealthWorker активно нацеливает их данные на текущие атаки методом грубой силы, которые могут привести к заражению программами-вымогателями.

QNAP также уведомила клиентов об атаках программ-вымогателей eCh0raix в мае , всего через две недели после того, как предупредила их о продолжающейся эпидемии программ-вымогателей AgeLocker .

Устройства QNAP также пострадали от масштабной кампании вымогателей Qlocker, начавшейся с середины апреля, когда злоумышленники заработали 260 000 долларов всего за пять дней , заблокировав данные жертв с помощью файлового архиватора с открытым исходным кодом 7zip.

Не менее 250 000 устройств NAS подвержены атакам

Согласно данным, собранным с помощью платформы Cortex Xpanse Palo Alto Networks, существует не менее 250 000 подключенных к Интернету устройств QNAP и Synology NAS.

Исследователи Unit 42 советуют владельцам Synology и QNAP NAS следовать этому короткому списку передовых методов для блокирования атак программ-вымогателей, направленных на их данные:

  • Обновите прошивку устройства, чтобы предотвратить подобные атаки. Подробную информацию об обновлении устройств QNAP NAS от CVE-2021-28799 можно найти на веб-сайте QNAP.
  • Создавайте сложные пароли для входа, чтобы злоумышленники усложнили взлом.
  • Ограничьте подключения к устройствам, подключенным к SOHO, только с помощью жестко запрограммированного списка распознанных IP-адресов, чтобы предотвратить сетевые атаки, используемые для доставки программ-вымогателей на устройства.

«Мы публикуем наши выводы об этом новом варианте eCh0raix, чтобы повысить осведомленность о текущих угрозах для секторов SOHO и малого бизнеса», — добавил Unit 42.

«Пользователи SOHO привлекательны для операторов программ-вымогателей, которые хотят атаковать более крупные цели, потому что злоумышленники потенциально могут использовать устройства SOHO NAS в качестве ступеньки в атаках цепочки поставок на крупные предприятия, которые могут принести огромные выкупы».

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии