Обнаружен новый вариант вымогателя eCh0raix (он же QNAPCrypt), который шифрует файлы в NAS компаний Qnap и Synology. Ранее злоумышленники атаковали такие устройства по отдельности, но теперь внесли изменения в кодовую базу своей малвари.

Этот шифровальщик впервые был замечен в 2016 году, когда его жертвы начали сообщать об атаках на форуме Bleeping Computer. Затем исследователи обнаруживали несколько волн атак на устройства Qnap в 2019 и 2020 годах. Помимо этого в 2019 году вымогатель атаковал и NAS компании Synology, тогда злоумышленники ломали учетные записи администраторов с помощью брутфорса.

Как теперь сообщают эксперты Palo Alto Networks, eCh0raix вновь изменился, и еще в сентябре 2020 года его операторы объединили функции шифрования обоих семейств NAS в одной кодовой базе.

Теперь злоумышленники используют уязвимость CVE-2021-28799, обнаруженную в составе утилиты Hybrid Backup Sync (HBS), предназначенной для аварийного восстановления и резервного копирования данных. Баг представляет собой жестко закодированные учетные данные (то есть, по сути, бэкдор-аккаунт). Этот же недостаток недавно использовался во время масштабной вредоносной кампании Qlocker, весной текущего года.

Также операторы eCh0raix по-прежнему используют брутфорс, чтобы доставлять пейлоады на устройства Synology. Из-за этого компания Synology недавно выпустила рекомендации по безопасности, предупреждающую, что ботнет StealthWorker активно брутфорсит слабые учетные данные, и призвала клиентов быть осторожнее.

Согласно данным, собранным с помощью Cortex Xpanse Palo Alto Networks, в настоящее время в сети доступны не менее 250 000 NAS производства Qnap и Synology, потенциально уязвимые перед атаками хакеров.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии