Издание Bleeping Computer предупредило о появлении нового шифровальщика StorageCrypt, который атакует сетевые хранилища NAS (к примеру, Western Digital My Cloud), шифрует файлы и требует выкуп в размере от 0,4 до 2 биткоинов.
Для заражения NAS малварь использует RCE-баг в Samba, исправленный в мае 2017 года. Данная проблема имеет идентификатор CVE-2017-7494 и также известна под названием SambaCry. Уязвимость позволяет осуществить загрузку разделяемой библиотеки в хранилище, при условии, что запись разрешена. В итоге сервер загружает эту библиотеку и выполняет ее, что ведет прямиком к удаленному выполнению произвольного кода.
Напомню, что перед этим багом уязвимы устройства множества производителей, например, прошлым летом специалисты компании Rapid7 подсчитали, что в интернет «смотрят» более 104 000 машин с уязвимыми версиями Samba, а также SambaCry может создать проблемы роутерам, NAS и другим IoT-устройствам.
Ранее разработчики малвари уже пытались взять SambaCry на вооружение. Так, ИБ-специалисты уже обнаруживали бэкдор SHELLBIND, а до этого уязвимость эксплуатировал криптовалютный майнер EternalMiner.
ИБ-специалист и основатель Bleeping Computer Лоренс Абрамс (Lawrence Abrams) пишет, что StorageCrypt действует так же, как и его предшественники: вредонос эксплуатирует уязвимость, загружает на устройство файл sambacry, сохраняет его по адресу /tmp/apaceha и запускает. Пока не совсем ясно, используется ли данный файл только для установки вымогателя, или также является бэкдором, через который злоумышленники потом смогут получить доступ к зараженному девайсу.
Вымогатель шифрует все файлы, заменяя их расширение на .locked. Также в каждую директорию NAS помещаются файлы Autorun.inf и 美女与野兽.exe: таким образом злоумышленники пытаются распространить заражение дальше, на любого пользователя, который откроет какую-либо из зараженных директорий в сетевом хранилище.
Лоренс Абрамс в очередной раз напоминает, что лучшая защита от таких атак – своевременная установка обновлений (еще раз напомню, что проблему SambaCry устранили еще в мае 2017 года). Также Абрамс не рекомендует подключать устройства NAS к интернету напрямую. Лучше держать их за файрволом и настроить VPN.