Tayvan merkezli NAS Maker Synology, müşterileri Stealthworker Botnet'in, fidye yazılımı enfeksiyonlarına yol açan devam eden kaba kuvvetli saldırılarda ağa bağlı depolama aygıtlarını hedef alıyor.
Sinolojinin Psirt'e (Ürün Güvenliği Olay Yanıt Ekibi) göre, bu saldırılarda tehlikeye giren Synology NAS aygıtları daha sonra daha fazla Linux sistemini ihlal etme girişimlerinde kullanılır.
Synology, "Bu saldırılar, ortak idari kimlik bilgilerini denemek ve tahmin etmek için çoktan enfekte olmuş cihazlardan yararlanır ve eğer başarılı olursa, bir güvenlik danışmanlığında, kötü amaçlı yük yükünü yüklemek için sisteme erişecektir" dedi.
"Enfekte olan cihazlar, Synology NAS dahil, diğer Linux tabanlı cihazlara ek saldırılar yapabilir."
Şirket, tüm tespit edilen tüm komut ve kontrol (C2) sunucularını kapatmak suretiyle, Botnet'in altyapısını aşağı çekmek için dünya çapında birden fazla CERT organizasyonuyla koordine etmektir.
Synology, bu devam eden tüm saldırıların NAS aygıtlarını hedef alanların potansiyel olarak etkilenen tüm müşterilerinin bildirilmesi üzerine çalışmaktadır.
NAS üreticisi, tüm sistem yöneticilerinin ve müşterilerinin sistemlerdeki zayıf idari kimlik bilgilerini değiştirmelerini, hesap korumasını ve otomatik bloğu etkinleştirmelerini ve mümkün olduğunda çok faktörlü kimlik doğrulaması ayarlamalarını sağlar.
Synology nadiren güvenlik danışmanlıklarını müşterilerine karşı aktif saldırıların uyarısını verir. Başarılı büyük ölçekli kaba kuvvetli saldırıların ardından fidye yazılımı enfeksiyonları ile ilgili son uyarı Temmuz 2019'da yayınlandı.
Şirket, NAS cihazlarını saldırılara karşı savunmak için kullanıcıların aşağıdaki kontrol listesinden geçmesini tavsiye eder:
"Synology NAS'ınızın güvenliğini sağlamak için, kontrol panelinde Güvenlik Duvarı'nı etkinleştirmenizi ve yalnızca gerektiğinde hizmetler için genel bağlantı noktalarına izin vermenizi ve yalnızca yetkisiz giriş girişimlerini önlemek için 2 adım doğrulamanın sağlanmasını öneririz."
"NAS'ınızı NAS bağışıklığınızı şifreleme tabanlı fidye yazılımına tutmak için anlık görüntüyü etkinleştirmek isteyebilirsiniz."
Synology, NAS cihazınızı burada fidye yazılımı enfeksiyonlarına karşı savunma hakkında daha fazla bilgi sağlar.
Synology, bu kampanyada kullanımla ilgili kötü amaçlı yazılımlarla ilgili daha fazla bilgi paylaşmadığı halde, paylaşılan detaylar, Şubat 2019 sonundaki Malwarebytes tarafından keşfedilen Golang tabanlı bir Brute Forcer ile sıraya girer ve Stealthworker.
İki yıl önce, Stealthworker, Ödeme ve Kişisel Bilgileri eklemek için tasarlanan skimmi dağıtmak için Magento, Phpmyadmin ve CPanel açıklarını sömürerek e-ticaret web sitelerini ödün vermek için kullanıldı.
Bununla birlikte, zamanında kötü amaçlı yazılımlar olarak belirtildiği gibi, kötü amaçlı yazılımın ayrıca, yerinde veya daha önce tehlikeye giren kimlik bilgilerinin listelerinden oluşturulan şifreleri kullanarak internet açığa çıkan cihazlara giriş yapmasını sağlayan kaba kuvvet yetenekleri vardır.
Mart 2019'dan itibaren, Stealthworker operatörleri, zayıf veya varsayılan kimlik bilgilerine sahip hassas ana bilgisayarlar için İnterneti tarayarak kaba kuvvete sadece bir yaklaşıma geçti.
Bir zamanlar tehlikeye giren bir makineye konuşlandırıldığında, kötü amaçlı yazılımlar hem Windows hem de Linux'ta kalıcılık kazanmak için zamanlanmış görevler oluşturuyor ve sinyoloji olarak, uyarılan, Ransomware de dahil olmak üzere ikinci aşamada kötü amaçlı yazılım yüklerini dağıtıyor.
NAS üreticisi bir güvenlik danışmanlığı yapmadılar, müşteriler Ocak ayında QNAP NAS aygıtlarını hedef alan bir kampanyada, 2020'den başlayarak Dovecat Bitcoin Cryptojacking Malware [1, 2] ile enfekte olduklarını bildirdi.
10 Ağustos Güncellemesi: Synology Spokesperson, BleepingComputer'ı aşağıdaki ifadeyi gönderdi:
Biz aslında Temmuz ayının sonunda bu saldırının farkındaydık. O zamandan bu yana 2-3 hafta boyunca müşterilerimizden 50 rapor aldı. Orada synology cihazlarının miktarını göz önünde bulundurarak (8 milyondan fazla aktif dağıtım) bu saldırıya maruz kalan cihaz sayısının çok düşük olduğunu düşünüyoruz. Ekibimiz, bu saldırılarda son birkaç gün boyunca yavaşlamayı da gördü.
Bu noktada, bu kötü amaçlı yazılım saldırısını ve kullanılan komut dosyalarını aktif olarak araştırıyoruz. Şu anda, Botnet'in ortak şifre kombinasyonlarını kullanarak "Yönetici" hesabını kaba zorla çalıştığına inanıyoruz. Şu anda kötü amaçlı yazılımların diğer kullanıcı hesaplarını hedeflemeye çalıştığını görmedik.
Daha önce belirtildiği gibi, müşterilerimiz ilk önce bu saldırıyı Temmuz ayının sonunda bildirdi. O zamandan beri etkilenen müşterilere bir bildirim gönderdik ve tüm Synology kullanıcılarına, NASlarının nasıl güvence altına alınacağına dair en iyi uygulamalarımızı ve ipuçlarını öneren tüm Synology kullanıcılarına ek bir bildirim gönderdik.
Ech0raix Ransomware şimdi hem QNAP hem de Synology NAS cihazlarını hedefliyor
Hellokitty Ransomware savunmasız SonicWALL cihazlarını hedefliyor
SonicWall, EOL SMA 100 VPN Aletleri'ne 'Kritik' Ransomware Riski uyardı
ABD reddediyorsa, fidye yazılım çetelerine karşı eylem uyarıyor
PYSA Ransomware CHACHI Malware Kullanarak Backdoors Eğitim Orgs
Kaynak: Bleeping Computer