Un nou tip de ransomware vizează dispozitivele de stocare atașate în rețea NAS

Un nou tip de ransomware vizează dispozitivele de stocare atașate în rețea NAS

Dispozitivele NAS sunt adesea folosite pentru stocarea datelor critice și a copiilor de rezervă – însă multe sunt expuse Internetului, iar criminalii cibernetici (din spatele eCh0raix) beneficiază de pe urma acestui fapt.

O formă recent descoperită de ransomware vizează dispozitivele de stocare în rețea prin exploatarea credențialelor slabe și a binecunoscutelor vulnerabilități ale sistemelor. Așadar, noua formă de malware ce blochează fișierele a apărut în luna iunie și a fost studiată de cercetătorii din domeniul cybersecurity din cadrul Anomali. Ransomware-ul vizează în mod specific dispozitivele de stocare atașate în rețeaua QNAP (NAS) produse de firma taiwaneză QNAP, care deține birouri în 16 țări și are clienți din întreaga lume.

Mai multe vulnerabilități au fost descoperite în dispozitivele QNAP NAS în ultimii ani, deși compania a furnizat patch-uri necesare imediat după identificare. Atacurile sunt oportuniste, infecția inițială fiind cauzată de porturile nesigure, la care se adaugă utilizarea atacurilor de forță brută (brute-force attacks) pentru obținerea credențialelor. Dispozitivele NAS devin, astfel, ținte atrăgătoare pentru infractorii cibernetici specializați în ransomware, deoarece sunt folosite pentru stocarea datelor critice și a copiilor de siguranță – însă, în ciuda acestui fapt, aceste dispozitive nu sunt echipate cu un software de securitate.

Conform managerului pe domeniul threat intelligence din cadrul Anomali, Joakim Kennedy, dispozitivele și sistemele expuse în mod public extind suprafețele de atac și sporesc posibilitatea ca vulnerabilitățile să fie identificate și exploatate de atacatori. De altfel, atacurile de tip ransomware vor continua să persiste drept o modalitate prin care atacatorii cibernetici încearcă să își monetizeze eforturile și să perturbe operațiunile pentru alte obiective.

Scris în limbajul de programare Go și descris ca fiind foarte simplu – codul sursă având mai puțin de 400 de linii – eCh0raix verifică dacă fișierele sunt deja criptate, înainte de a ajunge la un server de comandă și control pentru a începe procesul de criptare și pentru a crea o cheie de criptare AES-256 pentru a bloca fișiere, dându-le o extensie criptată.

Ulterior, utilizatorii primesc un text de răscumpărare prin care sunt informați că toate datele lor au fost blocate. În cazul în care le doresc înapoi, aceștia sunt direcționați către un site web Tor pentru a efectua plata răscumpărării în bitcoin.
Conform cercetătorilor, greșelile de ortografie din textul de răscumpărare indică faptul că cei aflați în spatele ransomware-ului nu sunt vorbitori nativi de limba engleză.

Pentru a proteja dispozitivele NAS împotriva atacurilor de tip ransomware, este recomandat ca și utilizatorii să le restricționeze accesul în așa fel încât să nu poată fi găsiți din afara Internetului. De asemenea, se recomandă aplicarea patch-urilor de securitate și folosirea unor acreditări puternice pentru a proteja sistemele împotriva atacurilor de tip brute-force.

No Comments

Post a Comment

Comment
Name
Email
Website