W ostatnim czasie informowaliśmy o nowym zagrożeniu typu ransomware o nazwie eCh0raix. Wyspecjalizowany w szyfrowaniu NAS-ów firmy QNAP szkodnik uderzał tam, gdzie boli najbardziej – w urządzenia, na których często przechowuje się najcenniejsze pliki czy kopie zapasowe. Kwestią czasu było, aż kolejni aktorzy zdają sobie sprawę z tkwiącego tu potencjału i zaatakują urządzenia kolejnych producentów. Na przykład NAS-y Synology.

Gwoli przypomnienia – eCh0raix to napisany w Go (niecałe 400 linijek kodu) program szyfrujący pliki na popularnych modelach NAS-ów firmy QNAP. Szkodnik do włamania używał przede wszystkim ataków typu brute-force, ofiarami byli zatem najczęściej użytkownicy z najsłabszymi hasłami. Po ich złamaniu kluczem AES-256 szyfrowane były wszystkie pliki, także kopie zapasowe zawartości dysków. Na końcu wygenerowana zostaje notka z żądaniem okupu.

Wygląda na to, że ataki ransomware wycelowane w NAS-y zostaną z nami na dłużej.

Teraz z podobnym zagrożeniem mierzą się posiadaczy NAS-ów firmy Synology. Ostrzega przed tym sam producent. Modus operandi włamywaczy jest taki sam, jak w przypadku ataków na NAS-y QNAP: stosowana jest technika ataku słownikowego, w największym niebezpieczeństwie nadal są zatem użytkownicy, którzy używają słabych lub popularnych haseł. Według Synology mamy do czynienia ze zmasowaną kampanią wycelowaną także w sprzęt innych producentów.

Sprawę komentuje Ken Lee, szef zespołu reagowania na incydenty bezpieczeństwa w Synology:

Uważamy, że jest to zorganizowany atak. Po intensywnym dochodzeniu w tej sprawie odkryliśmy, że napastnik użył adresów botnetu, aby ukryć prawdziwy źródłowy adres IP. Po wcześniejszym uzyskaniu haseł administratorach za pomocą ataku brute force kampania [ransomware – przyp. red.] została uruchomiona 19 lipca i zaskoczyła użytkowników. Natychmiast poinformowaliśmy o tej sprawie TWCERT/CC i CERT/CC z nadzieją na przyspieszenie wspólnych wysiłków na rzecz rozwiązania tego incydentu.

Wydana została także stosowna rekomendacja dla znajdujących się w niebezpieczeństwie użytkowników. Synology zaleca im w pierwszej kolejności upewnienie się, że ich hasła są wystarczająco silne – można tego dokonać za pomocą aplikacji Security Advisor. Ponadto sugerowane jest także wyłączenie konta systemowego administratora oraz włączenie funkcji Auto Block w ustawieniach NAS-a. Pozwoli ona na blokowanie prób logowania z adresów IP ze zbyt dużą liczbą niepowiedzeń.

Wygląda więc na to, że ataki ransomware wycelowane w NAS-y zostaną z nami na dłużej. Trudno się temu dziwić, o czym wspominaliśmy już przy okazji ataków na urządzenia QNAP-a. Dziś przeciętny użytkownik coraz rzadziej przechowuje cenne pliki na laptopach czy pecetach, a coraz częściej korzysta z pamięci zewnętrznej. Czy to z internetowych schowków, czy właśnie z NAS-ów. Nie bez znaczenia jest też mnogość zastosowań urządzeń tej klasy.

Zobacz też: Uwaga na eCh0raix – nowe ransomware infekuje NAS-y, szyfruje kopie zapasowe