Летом текущего года ИБ-специалисты обнаружили новый вымогатель AgeLocker, который применяет алгоритм шифрования Age (Actually Good Encryption) для шифрования файлов своих жертв. При шифровании малварь добавляет текстовый хедер к зашифрованным данным, который начинается с URL-адреса age-encryption[.]org.
Ранее мы уже писали о том, что с конца августа 2020 года AgeLocker или другой вымогатель, использующий такое же шифрование, стал атаковать доступные через интернет устройства Qnap NAS и шифровать данные на них. Более того, в записке с требованием выкупа операторы AgeLocker заявляют, что перед началом шифрования они похитили файлы пользователя, которые содержат «медицинские данные, сканированные изображения, резервные копии и так далее».
Если раньше было неясно, как именно злоумышленники получают доступ к устройствам, то теперь инженеры Qnap опубликовали бюллетень безопасности, где рассказали об AgeLocker подробнее.
По данным экспертов, шифровальщик компрометирует NAS через уязвимые версии QTS, а также через одно из предустановленных приложений, а именно PhotoStation. В заявлении компании подчеркивается, что все пострадавшие устройства работали с устаревшими версиями QTS и приложения, то есть злоумышленники не эксплуатируют какие-то баги нулевого дня.
Так как вектор распространения малвари наконец был обнаружен, теперь разработчики рекомендуют владельцам устройств обновить QTS и PhotoStation как можно скорее, и в целом не забывать о необходимости своевременной установки обновлений и патчей.