Шифровальщик eCh0raix прицельно атакует NAS-хранилища QNAP

Шифровальщик eCh0raix прицельно атакует NAS-хранилища QNAP

Исследователи обнаружили вымогательскую кампанию, направленную на сетевые хранилища QNAP. Злоумышленники взламывают серверы со слабыми паролями и требуют выкуп в 0,05–0,06 BTC (36–43 тыс. рублей по курсу на день публикации).

По сообщениям экспертов, новый шифровальщик eCh0raix — это компактная программа на языке Go (код занимает не более 400 строк). В настоящий момент известно об атаках на NAS-устройства QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II и QNAP TS 253B. Злоумышленники подбирали пароли к ним через брутфорс.

Связь с управляющим сервером eCh0raix поддерживает с помощью прокси SOCKS5. Вымогатель отправляет на управляющий узел информацию о пораженном хосте, скачивает требование о выкупе и публичный RSA-ключ, которым позже будет защищать ключи шифрования пользовательских данных.

Эксперты уточняют, что зловред не передает операторам системную информацию, чтобы в дальнейшем различать жертвы. По мнению исследователей, этой цели служит отдельный API, который позволяет обрабатывать запросы на получение специфических данных. В частности, с его помощью зловред получил порядковый номер — идентификатор кампании.

Эксперты отмечают, что операторы eCh0raix научили его прекращать активность при попадании на хосты в России, Белоруссии или на Украине. Географическую принадлежность зараженного устройства зловред определяет по раскладке клавиатуры.

Если пораженный NAS находится вне перечисленных стран, зловред завершает ряд процессов, связанных с взаимодействием с базами данных: apache2, nginx, mysqld, php-fpm и другие. Далее он определяет интересующие его файлы и шифрует их с помощью алгоритма AES.

Вымогателя интересуют документы Microsoft Office и OpenOffice, архивы, базы данных, PDF- и мультимедийные файлы. После преобразования они сохраняют название и получают расширение *.encrypt.

Создатели зловреда воспользовались тем, что на хранилищах QNAP нет нативных антивирусных систем. Эксперты также отмечают, что многие защитные средства пока не распознают новую угрозу — по данным VirusTotal, лишь 3 движка из 55 определяют eCh0raix как вредоносное ПО.

Исследователи утверждают, что создать декриптор к новому шифровальщику будет несложно: разработчики зловреда создают секретный ключ не на истинно случайной основе, а по определенному математическому алгоритму. Со своей стороны, компания QNAP подготовила рекомендации по защите от вымогателей.

В конце 2018 года пользователи NAS-устройств QNAP попали под атаку зловредного bash-сценария — скрипт проникал на хранилища, чтобы похитить администраторские пароли.

Источник: //threatpost.ru/ech0raix-ransomware-targets-nas-storages/33441/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *