Обнаружен новый вариант вымогателя eCh0raix (он же QNAPCrypt), который шифрует файлы в NAS компаний Qnap и Synology. Ранее злоумышленники атаковали такие устройства по отдельности, но теперь внесли изменения в кодовую базу своей малвари.
Этот шифровальщик впервые был замечен в 2016 году, когда его жертвы начали сообщать об атаках на форуме Bleeping Computer. Затем исследователи обнаруживали несколько волн атак на устройства Qnap в 2019 и 2020 годах. Помимо этого в 2019 году вымогатель атаковал и NAS компании Synology, тогда злоумышленники ломали учетные записи администраторов с помощью брутфорса.
Как теперь сообщают эксперты Palo Alto Networks, eCh0raix вновь изменился, и еще в сентябре 2020 года его операторы объединили функции шифрования обоих семейств NAS в одной кодовой базе.
Теперь злоумышленники используют уязвимость CVE-2021-28799, обнаруженную в составе утилиты Hybrid Backup Sync (HBS), предназначенной для аварийного восстановления и резервного копирования данных. Баг представляет собой жестко закодированные учетные данные (то есть, по сути, бэкдор-аккаунт). Этот же недостаток недавно использовался во время масштабной вредоносной кампании Qlocker, весной текущего года.
Также операторы eCh0raix по-прежнему используют брутфорс, чтобы доставлять пейлоады на устройства Synology. Из-за этого компания Synology недавно выпустила рекомендации по безопасности, предупреждающую, что ботнет StealthWorker активно брутфорсит слабые учетные данные, и призвала клиентов быть осторожнее.
Согласно данным, собранным с помощью Cortex Xpanse Palo Alto Networks, в настоящее время в сети доступны не менее 250 000 NAS производства Qnap и Synology, потенциально уязвимые перед атаками хакеров.