Yeni keşfedilen bir Ech0raix Ransomware varyant, hem QNAP hem de Synology ağa bağlı depolama (NAS) cihazlarını şifrelemek için destek ekledi.
Bu ransomware suşu (Qnapcrypt olarak da bilinir) ilk önce Haziran 2016'da ortaya çıktı, mağdurlar bir BleepingComputer forumu konusundaki saldırılara rapor vermeye başladıktan sonra.
Ransomware, Haziran 2019'da ve Haziran 2019'da ve Haziran 2020'de iki büyük ölçekli olana sahip olan QNAP NAS aygıtlarına çarptı.
Ech0raix, 2019 yılında Synology tarafından yapılan cihazları, ANOMALI araştırmacıları, saldırganların, varsayılan kimlik bilgilerini veya sözlük saldırılarını kullanarak saldırganların kaba zorunlu yönetici kimlik bilgilerini bulduğunu bulur.
O zaman, NAS Maker, müşterilerini verilerini devam eden ve büyük ölçekli bir Ransomware kampanyasından korumak için uyardı. Ancak, saldırılardan sorumlu fidye yazılımı operasyonunu adlandırmadı.
Ayrı kampanyalarda geçmişte hem QNAP hem de Synology Cihazlarını Hedeflerken, Palo Alto Ağları Ünitesi 42 Güvenlik Araştırmacıları, bugün Ech0raix'in 2020 Eylül'ten başlayarak her iki NAS ailelerini şifrelemek için işlevselliğe başladığı bir raporda.
"Daha önce, saldırganlar, satıcıların her birinden gelen cihazları hedefleyen kampanyalar için ayrı kod tabanları vardı" dedi. Birim 42.
Daha fazla ortaya çıktıkça, fidye yazılımı operatörleri, CVE-2021-28799'u istifa eder (saldırganları sert kodlanmış kimlik bilgilerine, aka bir arka kapı hesabına erişim sağlayan bir güvenlik açığı), QNAP cihazlarını şifrelemek için aynı kusur, büyük ölçekli bir Qlocker kampanyasında taciz edildi. Nisan.
Saldırganlar, yaygın olarak kullanılan idari kimlik bilgilerini tahmin ederek (2019 Synology Kampanyasında, yukarıda belirtilen aynı taktik), Synology NAS aygıtlarındaki fidye yazılım yükleme yüklerini sunma yollarını zorla yürütürler.
Doğrudan Ech0raix Ransomware'e bağlamamasına rağmen, Synology geçen hafta bir güvenlik danışmanlığı verdi.
QNAP ayrıca, Ech0raix Ransomware saldırılarının müşterilerine, ongörlü bir ageLocker fidye yazılımı salgını uyartıktan sadece iki hafta sonra, Mayıs ayında müşterilerini bilgilendirmiştir.
QNAP cihazları, Nisan ortasından başlayan büyük bir KLOCKER Ransomware kampanyası tarafından vuruldu, tehdit aktörleri, 7ZIP açık kaynaklı dosya arşivleyiciyi kullanarak mağdurların verilerini kilitleyerek sadece beş gün içinde 260.000 dolar kazandı.
Palo Alto Networks 'Cortex Xpanse platformu ile toplanan verilere göre, en az 250.000 internet açığa çıkan QNAP ve Synology NAS cihazı var.
Birim 42 Araştırmacılar, verilerini hedef alan Ransomware saldırılarını engellemek için en iyi uygulamaların bu kısa listesini takip etmelerini tavsiye ediyorlar:
Birim 42, "SOHO ve küçük işletme sektörlerine devam eden tehditlerin farkındalığını arttırmak için bu yeni Ech0raix'in bu yeni varyantı hakkındaki bulgularımızı yayınlıyoruz" dedi.
"SOHO kullanıcıları, daha büyük hedeflere saldırmayı arayan fidye yazılımı operatörlerine çekici geliyor çünkü saldırganlar, SOHO NAS aygıtlarını büyük fidyomlar üretebilecek büyük işletmelerdeki tedarik zinciri saldırılarında bir basamak taşı olarak kullanabiliyorlar."
Synology, kötü amaçlı yazılımın bulaşması NAS aygıtları fidye yazılımı ile uyardı
Accenture, Hackbit Ransomware Veri Kayak Tehditlerinden Sonra Hack'i Onaylar
Kaseya'nın evrensel tekrar şifre çözme anahtarı bir hack forumunda sızdırılmış
Crytek, Egregor Ransomware saldırısını, müşteri veri hırsızlığını onaylar
Microsoft, Azure Sentinel'e Fusion Ransomware Saldırı Algılaması Ekler
Kaynak: Bleeping Computer