02 Сентября 2021 08:23 02 Сен 2021 08:23 |

Поделиться

Вымогательская программа прицельно атакует накопители QNAP и Synology

Два в одном

Шифровальщик eCh0raix начал атаковать сетевые накопители QNAP и Synology одновременно. Вредонос ранее специализировался только на устройствах QNAP. С тех пор как eCh0raix (также известный как QNAPCrypt) впервые обнаружили в 2016 г. Эксперты отметили несколько волн атак, наиболее интенсивные из которых пришлись на июнь 2019 и июнь 2020 гг.

В 2019 г. eCh0raix также начал атаковать устройства Synology, но операторы шифровальщика задействовали тогда отдельную кампанию и, видимо, специализированную версию шифровальщика.

В новом исследовании Palo Alto Networks указывается, что с осени 2020 г. этот вредонос с равным успехом атакует и устройства QNAP, и накопители Synology. Функциональность, нацеленная на устройства обоих брендов, интегрирована в единый код шифровальщика.

Для атак на устройства QNAP операторы шифровальщика используют уязвимость CVE-2021-28799 (оставшиеся от разработчиков вшитые реквизиты доступа, то есть, бэкдор). Этой же уязвимостью пользовалась кибергруппировка Qlocker в апреле 2021 г.

Шифровальщик прицельно атакует накопители известных брендов

Qlocker тогда смогла заработать $260 тыс. всего за пять дней, шифруя данные обычным архиватором 7zip. С жертв требовали около $500, и очень многие согласились заплатить за возвращение доступа к своим данным.

Исправления к уязвимости CVE-2021-28799 к тому моменту были уже выпущены, но не все пользователи их установили.

Qlocker, впрочем, пользовались и другой уязвимостью — CVE-2020-36195, позволявшей производить инъекцию SQL в мультимедийном аддоне для сетевых накопителей QNAP. К тому времени для этой уязвимости также существовал патч.

Брутфорс как основное средство

Что же касается устройств Synology, то их компрометация производится посредством брутфорса — в расчете на то, что пользователи задают слабые (или даже оставляют заводские) административные пароли.

«NAS-накопители становятся объектами охоты со стороны шифровальщиков по целому ряду причин, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SECConsultServices. — Во-первых, там обычно хранятся данные, с которыми пользователи совершенно не готовы расставаться, и ради сохранения доступа к которым иногда готовы платить злоумышленникам. Во-вторых, многие пользователи совершают типичные ошибки — недонастраивают устройства, оставляя заводские пароли, не обновляют вовремя программные оболочки и оставляют накопитель доступным извне, обеспечивая тем самым злоумышленникам весьма благодатные условия.

Сетевые накопители QNAP и Synology регулярно становятся объектами атак со стороны самых разных вредоносных программ. В начале августа 2021 г. компания Synology предупредила пользователей своих устройств о том, что ботнет StealthWorker целенаправленно атакует их с помощью брутфорса.

QNAP оповестил своих клиентов об атаках со стороны eCh0raix в мае 2021 г., спустя всего лишь две недели после другого предупреждения — об атаках со стороны шифровальщиков AgeLocker.

Роман Георгиев

Поделиться

Короткая ссылка