Uwaga na eCh0raix – nowe ransomware infekuje NAS-y, szyfruje kopie zapasowe

Maciej Olanicki , 15.07.2019 r.
Artykuł został zaktualizowany – najnowszą treść znajdziesz na końcu.

Badacze Anomali trafili na ślad nowego ransomware, które skuteczność może zawdzięczać względnie wąskiej specjalizacji. Autorzy szkodnika na nasze nieszczęście poszli po rozum do głowy i zastanowili się nad tym, co najczęściej stanowi zabezpieczenie przed ransmoware. Jedna z odpowiedzi musiała brzmieć: kopie zapasowe. A gdzie najczęściej się je przechowuje? Między innymi na NAS-ach. Tak powstał eCh0raix.

Zobacz też: Exploit podatności BlueKeep już jest. Czas zacząć odliczanie do katastrofy?

eCh0raix to napisane w Go ransomware wyspecjalizowane w infekowaniu popularnych NAS-ów firmy QNAP. Jej produkty znajdują popularność i uznanie także na polskim rynku. Jak dotąd ustalono, że zagrożone są następujące urządzenia: QNAP TS-231, QNAP TS-251, QNAP TS 253A, QNAP TS 253B, QNAP TS-451, oraz QNAP TS-459 Pro II. Nie oznacza to jednak, że wina leży po stronie producenta.

QNAP QNAP TS-231 – jeden z modeli wziętych na celownik przez twórców eCh0raix.

eCh0raix do zdobywania dostępu do NAS-ów wykorzystuje bowiem przede wszystkim atak brute-force i stara się złamać liche hasła użytkowników. Gdy już się to uda, NAS-y okazują się wdzięczną ofiarą. Zaszyfrowywane kluczem AES-256 zostają wszystkie pliki, także kopie zapasowe zawartości dysków. Na końcu wygenerowana zostaje notka z żądaniem okupu. Wszystko to w mniej niż 400 linijkach napisanych w Golang.

Uwagę zwraca, że kampania jest zakrojona szeroko – choćby na forum Bleeping Computer nie brakuje zgłoszeń o wielu nieudanych próbach logowania do NAS-ów QNAP-a. Sam producent udostępnił ofiarom instrukcję, jak odzyskać zaszyfrowane pliki bez konieczności opłacania okupu. Jest to możliwe, jeśli wcześniej włączona została funkcja automatycznego generowania migawek.

Zobacz też: Norsk Hydro zostało sparaliżowane przez ransomware LockerGoga – co o nim wiadomo?

Trzeba przyznać, że pomysł na eCh0raix jest całkiem zmyślny. Dziś zaszyfrowanie laptopa może być mniej dotkliwe niż jeszcze kilka lat temu, gdyż większe, bardziej cenne pliki przechowywane są właśnie na zewnętrznych nośnikach, także NAS-ach. Ważna jest ich także wszechstronność – skuteczny atak ransomware może pozbawić ofiarę zdjęć z wakacji, ale także sparaliżować wykorzystywany w małej firmie system kamer. A wszystko to na urządzeniu, na którym zazwyczaj nie uświadczymy zaawansowanej proaktywnej ochrony dostarczanej przez współczesne systemu operacyjne i oprogramowanie antywirusowe.

Aktualizacja, 16.08.2019 r.

Otrzymaliśmy oficjalne stanowisko QNAP w tej sprawie:

Zapoznaliśmy się z raportem odkrywców owego złośliwego oprogramowania – przeanalizowaliśmy go uważnie. Przede wszystkim jednak podkreślić należy, że problem nie dotyczy aktualnej wersji systemu QTS i użytkownicy mogą w łatwy sposób zabezpieczyć się przed atakiem, aktualizując system operacyjny urządzenia NAS. Dlatego zdecydowanie rekomendujemy, by użytkownicy zawsze korzystali z najnowszej wersji QTS (najwygodniej ją zainstalować za pomocą mechanizmu aktualizacyjnego dostępnego z poziomu Ustawień QTS). Warto podkreślić, że domyślnie skonfigurowany QNAP NAS zawsze informuje użytkownika o dostępności nowej wersji oprogramowania systemowego.

Bardzo ważne (i to nie tylko w kontekście tego konkretnego ataku, ale tak naprawdę w każdej sytuacji) jest również korzystanie z odpowiednio silnego hasła i loginu – warto bowiem zauważyć, że częścią ataku jest skorzystanie z mechanizmy brute-force do odgadnięcia słabych/typowych haseł. Na koniec podkreślamy, że QNAP oferuje w swoich urządzeniach skuteczne rozwiązanie, chroniące dane użytkownika przed zablokowaniem przez przestępców niezależnie od okoliczności – to backup migawkowy, który zdecydowanie rekomendujemy naszym Klientom.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: