Huis » Nieuws » eCh0raix ransomware aanvallen QNAP NAS Network Storage

eCh0raix ransomware aanvallen QNAP NAS Network Storage

Onderzoekers van Anomali Threat Research hebben ontdekt een nieuwe eCh0raix encrypterende geschreven in Go. De malware-aanvallen de QNAP NAS-apparaten en versleutelt de slachtoffers bestanden.

denfortunately, nu is er geen manier om de gegevens te decoderen zonder het betalen van het losgeld naar de aanvallers.

Deskundigen melden dat compromis die voornamelijk door brute kracht zwak referenties en het gebruik van bekende kwetsbaarheden uitvoert. Zo, in de forums van de publicatie BeginnersWeb, gebruikers klaagden over het hacken QNAP NAS: QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II en QNAP TS 253B.

Hoewel de beheersingsserver de codeur ligt in Tor, eCh0raix geen Tor client bevatten. In plaats daarvan, malware operators creëerde een SOCKS5 volmacht, waardoorheen ransomware communiceert met de beherende server.

In aanvulling op, auteurs van het malware lijkt een speciale API die kan worden gebruikt om verschillende informatie te vragen te hebben ontwikkeld. Bijvoorbeeld, deskundigen gemerkt dat ransomware aangesloten op de URL http://sg3dwqfpnr4sl5hh[.]Ui / api / GetAvailKeysByCampId / 10 voor het publiek encryptiesleutel te krijgen op basis van de campagne identifier (in dit geval, campagne nummer 10). Het is niet helemaal duidelijk of deze id's zijn in verband met persoonlijke campagnes van het virus makers of hun partners.

Na doorgedrongen een kwetsbaar apparaat, eCh0raix voert eerst een taalcontrole te bepalen of de inrichting behoort tot bepaalde landen (Wit-Rusland, Oekraïne of Rusland). Voor toestellen uit deze landen, ransomware zal geen bestanden versleutelen. Als de aanval blijft, de malware zoekt naar en elimineert de volgende processen met behulp van de

dienst stop% s

of

systemctl stoppen% s

commando's. Waar “%s” kan zijn:

  • apache2
  • httpd
  • nginx
  • mysqld
  • mysqd
  • php-fpm
LEZEN  Kwetsbaarheid van de MacOS geïntegreerde beveiligingen aanvallers de mogelijkheid te beginnen side applicatie op de computer van het slachtoffer

De ransomware versleutelt vervolgens Microsoft Office en OpenOffice-documenten, PDF-bestanden, tekstbestanden, archief, databases, foto's, muziek-, video-, en beeldbestanden. Daarna, de aanvallers eisen een losgeld van het slachtoffer in het bedrag van 0.05-0.06 BTC of meer.

De onderzoekers wijzen erop dat de meeste QNAP NAS-apparaten niet over een actieve antimalware-oplossing hebben, waardoor eCh0raix vrij versleutelen van data. Erger, zelfs indien een antivirusproduct is aanwezig op het apparaat, de malware is het onwaarschijnlijk dat worden gedetecteerd: volgens VirusTotal, tot nu toe slechts drie van de 55 beveiligingsproducten zijn in staat om de coder merken.

QNAP TS-459 Pro II
QNAP TS-459 Pro II
Momenteel is er geen decryptor voor eCh0raix, maar Anomali deskundigen geloven dat het kan worden gecreëerd. Het feit is dat eCh0raix maakt gebruik van een wiskundige pakket naar een geheime sleutel te genereren, dat is niet cryptografisch willekeurige. Om deze reden, onderzoekers adviseren slachtoffers niet te haasten om het losgeld te betalen totdat de ransomware niet goed is onderzocht.

belangwekkend, op hetzelfde moment met Anomali, dezelfde malware was ontdekt en bestudeerd door Intezer specialisten, waardoor het de naam QNAPCrypt. Hoewel, globaal, Intezer analisten kwamen tot dezelfde conclusies als hun collega's, ze ook gemerkt dat elk slachtoffer van de cryptograaf ontvangen het unieke adres van een Bitcoin portemonnee voor het verzenden van een losgeld. Bovendien, het bleek dat QNAPCrypt versleutelt apparaten pas na de beheerserver ze de portemonnee adres en het RSA publieke sleutel heeft toegewezen.

Spoedig, Intezer onderzoekers vinden dat de lijst van dergelijke portefeuilles is gemaakt van tevoren en statisch (dat is, het aantal portefeuilles beperkt), en de aanvallers’ infrastructuur heeft geen authenticatie uit te voeren wanneer er nieuwe apparaten worden aangesloten, rapporteren over hun infectie.

LEZEN  In Oracle assessed seriousness of emerged issue and launched unplanned patch for WebLogic server

De deskundigen besloten om te profiteren van deze nuance en organisator van een DoS aanval op malware operators. Het imiteren van de infectie van bijna 1,100 apparaten, de onderzoekers snel leeg de levering van unieke Bitcoin portemonnee indringers. Als gevolg, de kwaadaardige campagne werd tijdelijk onderbroken, omdat de informatie over de geïnfecteerde apparaten wordt gecodeerd nadat het toewijzen van de tas aan de geïnfecteerde NAS.

helaas, de auteurs van het virus uiteindelijk omgegaan met de DoS-aanval van deskundigen en de code van hun malware bijgewerkt, het maken eruit Linux.Rex. Om de aanval van specialisten tegen, hackers plaatste de RSA-sleutel en informatie over de statische portemonnee in het uitvoerbare bestand, die wordt geleverd aan de doelsystemen.

[Totaal: 1    Gemiddelde: 5/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Adwind aanvallen energiesector

RAT Trojan Adwind ons aanvalt energiesector

Onbekende aanvallers gerichte infrastructuur van de Amerikaanse elektriciteitssector. Met de hulp van kwaadaardige e-mails, …

Trojan Bolik maskers onder NordVPN

Bank Bolik Trojan maskers zich onder NordVPN

Doctor Web experts gewaarschuwd dat aanvallers gebruik maken van kopieën van populaire diensten sites om Bolik distribueren …

Laat een antwoord achter