Uwaga na nowy ransomware atakujący serwery NAS

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19203
Reakcje/Polubienia
55885
Celem dwóch nowych
Zaloguj lub Zarejestruj się aby zobaczyć!
(QNAPCrypt i eCh0raix) są urządzenia klasy NAS firmy QNAP. Wektor ataku jest bardzo prosty: brute force na hasło SSH lub wykorzystanie znanych podatności.

Łatwo rozpoznać infekcję, ponieważ zaszyfrowane algorytmem AES pliki otrzymują rozszerzenie .encrypt. Sam ransomware napisany jest w nowoczesnym języku Go. Bardzo możliwe, że twórca jest obywatelem naszych wschodnich sąsiadów, ponieważ malware po wykryciu celu w Białorusi, Rosji lub na Ukrainie całkowicie przerywa działanie.

Serwer C&C przestępcy jest ukryty za węzłami sieci Tor. Przed rozpoczęciem szyfrowania ransomware wykonuje do niego zapytanie o unikalny adres portfela bitcoinów, na który mają trafić pieniądze za klucz do odszyfrowania. Poza tym zamyka procesy o nazwie apache2, httpd, nginx, MySQL, mysql, PostreSQL.

Na koniec The Hacker News podaje dobrą radę:
(…) we urge users not to, unknowingly or unnecessarily, connect their NAS devices directly to the Internet, and also enable automatic updates to keep firmware up-to-date. Moreover, users are always recommended to use strong passwords to secure their NAS devices in the first place and regularly backup stored information on these devices.
Kliknij aby rozwinąć...
NAS jako miejsce dla lokalnych kopii zapasowych to świetny pomysł. Natomiast do udostępniania plików polecamy wykorzystanie publicznych usług, np. nastawionego na prywatność
Zaloguj lub Zarejestruj się aby zobaczyć!
.
Kliknij aby rozwinąć...
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!

Szerszy opis zagrożenia:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Ostatnia edycja:
Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19203
Reakcje/Polubienia
55885
Długo nie trzeba było czekać.
Atakujący usuwają pliki z publicznie dostępnych urządzeń Lenovo Iomega NAS i zostawiają żądanie okupu. Te żądania okupowe mówią, że napastnicy oddadzą pliki, jeśli dostaną zapłatę w bitcoinach

Zaloguj lub Zarejestruj się aby zobaczyć!
.

Wygląda na to to, że to bardziej skoordynowana akcja na serwery NAS.
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

spamtrash
Kimusky (Korea Polnocna): narzedzie do wysylania "fajnych" emili.
Odpowiedzi
0
Wyświetleń
17
spamtrash
spamtrash
Ircus
Uwaga na SMSy dotyczące “długów"
Odpowiedzi
0
Wyświetleń
58
Ircus
Ircus
spamtrash
CISA - New Gen Malware Analysis Tool
Odpowiedzi
0
Wyświetleń
42
spamtrash
spamtrash
Grandalf
TheMoon infekuje starsze routery ASUS
Odpowiedzi
1
Wyświetleń
71
spamtrash
spamtrash
Grandalf
Ktoś klonuje prawdziwe repozytoria na GitHub i dodaje złośliwy kod
Odpowiedzi
1
Wyświetleń
100
spamtrash
spamtrash
Do góry