Поделиться
Вымогательская программа прицельно атакует накопители QNAP и Synology
Шифровальщик-вымогатель eCh0raix обзавелся функциональностью, которая позволяет ему с равным успехом атаковать сетевые накопители QNAP и Synology. Теперь модули для атак на оба бренда вшиты в его основной код.
Два в одном
Шифровальщик eCh0raix начал атаковать сетевые накопители QNAP и Synology одновременно. Вредонос ранее специализировался только на устройствах QNAP. С тех пор как eCh0raix (также известный как QNAPCrypt) впервые обнаружили в 2016 г. Эксперты отметили несколько волн атак, наиболее интенсивные из которых пришлись на июнь 2019 и июнь 2020 гг.
В 2019 г. eCh0raix также начал атаковать устройства Synology, но операторы шифровальщика задействовали тогда отдельную кампанию и, видимо, специализированную версию шифровальщика.
В новом исследовании Palo Alto Networks указывается, что с осени 2020 г. этот вредонос с равным успехом атакует и устройства QNAP, и накопители Synology. Функциональность, нацеленная на устройства обоих брендов, интегрирована в единый код шифровальщика.
Для атак на устройства QNAP операторы шифровальщика используют уязвимость CVE-2021-28799 (оставшиеся от разработчиков вшитые реквизиты доступа, то есть, бэкдор). Этой же уязвимостью пользовалась кибергруппировка Qlocker в апреле 2021 г.
Qlocker тогда смогла заработать $260 тыс. всего за пять дней, шифруя данные обычным архиватором 7zip. С жертв требовали около $500, и очень многие согласились заплатить за возвращение доступа к своим данным.
Исправления к уязвимости CVE-2021-28799 к тому моменту были уже выпущены, но не все пользователи их установили.
Qlocker, впрочем, пользовались и другой уязвимостью — CVE-2020-36195, позволявшей производить инъекцию SQL в мультимедийном аддоне для сетевых накопителей QNAP. К тому времени для этой уязвимости также существовал патч.
Брутфорс как основное средство
Что же касается устройств Synology, то их компрометация производится посредством брутфорса — в расчете на то, что пользователи задают слабые (или даже оставляют заводские) административные пароли.
«NAS-накопители становятся объектами охоты со стороны шифровальщиков по целому ряду причин, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SECConsultServices. — Во-первых, там обычно хранятся данные, с которыми пользователи совершенно не готовы расставаться, и ради сохранения доступа к которым иногда готовы платить злоумышленникам. Во-вторых, многие пользователи совершают типичные ошибки — недонастраивают устройства, оставляя заводские пароли, не обновляют вовремя программные оболочки и оставляют накопитель доступным извне, обеспечивая тем самым злоумышленникам весьма благодатные условия.
Сетевые накопители QNAP и Synology регулярно становятся объектами атак со стороны самых разных вредоносных программ. В начале августа 2021 г. компания Synology предупредила пользователей своих устройств о том, что ботнет StealthWorker целенаправленно атакует их с помощью брутфорса.
QNAP оповестил своих клиентов об атаках со стороны eCh0raix в мае 2021 г., спустя всего лишь две недели после другого предупреждения — об атаках со стороны шифровальщиков AgeLocker.
Поделиться
Короткая ссылка
