Bu hafta ECH0RAix Ransomware, ID fidye yazılımı platformundaki kullanıcı raporlarına ve örnek gönderimlerine göre, savunmasız QNAP Ağı Ekli Depolama (NAS) cihazlarını tekrar hedeflemeye başladı.
ECH0RAix (QNAPCrypt olarak da bilinir), saldırganların internete maruz kalan NAS cihazlarına doğru ilerledikleri 2019 yazından başlayarak QNAP müşterilerini birden fazla büyük ölçekli dalgada vurmuştu.
O zamandan beri, bu fidye yazılımı suşunun kurbanları tarafından Mayıs 2020'de bu fidye yazılımı suşunun kurbanları tarafından tespit edildi ve bildirildi ve Aralık 2021'in ortalarında (Noel'den hemen önce) başlayan zayıf şifrelere sahip cihazları hedefleyen büyük bir saldırı artışı, Şubat 2022'nin başlarına doğru azaldı.
ECH0RAix saldırılarının yeni bir artışı, 8 Haziran'da en erken hit ile BleepingComputer forumlarında [1, 2] vurulduğunu bildiren hızla artan sayıda kimlik fidye yazılımı gönderimi ve kullanıcılar tarafından onaylandı.
Her ne kadar sadece birkaç düzine ECH0RAix örneği gönderilmiş olsa da, gerçek sayı başarılı saldırılar büyük olasılıkla daha yüksektir, çünkü kurbanların sadece bir kısmı, cihazlarını şifreleyen fidye yazılımlarını tanımlamak için kimlik fidye yazılımı hizmetini kullanacaktır.
Bu fidye yazılımı, Ağustos 2021'den bu yana Synology NAS sistemlerini şifrelemek için de kullanılmış olsa da, kurbanlar bu sefer QNAP NAS cihazlarına sadece grevleri doğruladı.
QNAP bu saldırılar hakkında daha fazla ayrıntı yayınlayana kadar, bu yeni ECH0RAix kampanyasında kullanılan saldırı vektörü bilinmemektedir.
QNAP, müşterileri bu saldırılara karşı uyarmak için henüz bir uyarı vermese de, şirket daha önce verilerini potansiyel ECH0RAix saldırılarından korumaya çağırdı:
QNAP, NAS şifresini değiştirme, IP erişim korumasını etkinleştirme ve bu güvenlik danışmanındaki sistem bağlantı noktası numarasını değiştirme konusunda ayrıntılı adım adım talimatlar sağlar.
Tayvanlı donanım satıcısı, müşterileri NAS cihazlarını internetten saldırılara maruz bırakmayı önlemek için yönlendiricilerinde evrensel fiş ve oynatma (UPNP) bağlantı noktası yönlendirmesini devre dışı bırakmaya çağırdı.
SSH ve Telnet bağlantılarını devre dışı bırakmak ve IP ve hesap erişim koruması ile geçiş yapmak için bu adım adım talimatları da izleyebilirsiniz.
QNAP ayrıca Müşterileri Perşembe günü, cihazlarını Deadbolt fidye yazılımı yüklerini dağıtmak için devam eden saldırılara karşı güvence altına almaları konusunda uyardı.
"QNAP Ürün Güvenliği Olay Yanıt Ekibi (QNAP PSIRT) tarafından yapılan soruşturmaya göre, saldırı QTS 4.3.6 ve QTS 4.4.1 kullanan NAS cihazlarını hedefledi ve etkilenen modeller esas olarak TS-X51 Serisi ve TS-X53 Serisi, "NAS Maker dedi.
"QNAP, tüm NAS kullanıcılarını en kısa sürede QTS'yi en son sürüme kontrol etmeye ve güncellemeye çağırıyor ve NAS'larını internete maruz bırakmaktan kaçınıyor."
QNAP, Yeni Deadbolt Fidye Yazılımı Saldırılarının NAS müşterilerini uyarıyor
QNAP, internete maruz kalan NAS cihazlarını hedefleyen fidye yazılımı konusunda uyarıyor
QNAP 'Yeni Deadbolt Fidye Yazılımı Saldırılarını İyice Araştırma'
QNAP, müşterileri yönlendiricilerde UPNP bağlantı noktası yönlendirmesini devre dışı bırakmaya çağırıyor
Ransomware'deki hafta - 17 Haziran 2022 - Fidye oldum mu?
Kaynak: Bleeping Computer