Οι κακόβουλοι παράγοντες που βρίσκονται πίσω από το eCh0raix Ransomware ξεκίνησαν μια νέα εκστρατεία που στοχεύει QNAP NAS συσκευές. Το eCh0raix παρατηρήθηκε για πρώτη φορά τον Ιούνιο του 2019, αφότου θύματα άρχισαν να αναφέρουν ransomware επιθέσεις σε ένα φόρουμ στο BleepingComputer. Την 1η Ιουνίου του 2020, υπήρξε απότομη αύξηση των θυμάτων του eCh0raix, τα οποία ζητούσαν βοήθεια στα φόρουμ του BleepingComputer προκειμένου να προσδιοριστεί και να αντιμετωπιστεί το ransomware. Οι κακόβουλοι παράγοντες αποκτούν πρόσβαση σε QNAP NAS συσκευές μέσω γνωστών τρωτών σημείων ή μέσω αδύναμων κωδικών πρόσβασης που χρησιμοποιούνται σε μία συσκευή. Μόλις αποκτήσουν πρόσβαση οι εισβολείς, εγκαθιστούν το ransomware, το οποίο κρυπτογραφεί τα αρχεία που είναι αποθηκευμένα στη συσκευή και προσθέτει την επέκταση .encrypt στο όνομα αρχείου. Όταν τελειώσει αυτό, ένα θύμα θα λάβει μια ειδοποίηση, με το όνομα README_FOR_DECRYPT.txt, στην οποία θα του ζητούνται λύτρα και η οποία περιέχει έναν σύνδεσμο προς έναν ιστότοπο πληρωμής Tor. Στη συνέχεια, αυτός ο ιστότοπος απαιτεί περίπου 500 $ για έναν αποκρυπτογράφο.
Ένα θύμα ανέφερε ότι βρήκε περίεργα ονόματα εφαρμογών QNAP στο AppCenter της συσκευής του μετά την κρυπτογράφηση. Ωστόσο, δεν είναι γνωστό εάν πρόκειται για κακόβουλα πακέτα που έχουν εγκατασταθεί από τους παράγοντες απειλής ή για custom-loaded πακέτα που κρυπτογραφήθηκαν και δεν διαβάζονται πλέον σωστά. Ενώ ένας αποκρυπτογράφος κυκλοφόρησε από τον εμπειρογνώμονα ασφαλείας BloodDolly για να αποκρυπτογραφήσει τις προηγούμενες εκδόσεις δωρεάν, ο προγραμματιστής του ransomware έκτοτε έχει διορθώσει την αδυναμία του κώδικα.
Προς το παρόν δεν υπάρχει τρόπος ανάκτησης αρχείων δωρεάν, εκτός εάν ένας χρήστης έχει ενεργοποιήσει την υπηρεσία QNAP Snapshot. Εάν κάποιος έχει ενεργοποιήσει τη λειτουργία block-based snapshot της QNAP, μπορεί να χρησιμοποιήσει τα snapshots για να ανακτήσει τα δεδομένα του.
Τι πρέπει να κάνουν οι ιδιοκτήτες QNAP NAS συσκευών για να προστατευθούν από το eCh0raix Ransomware;
Εάν διαθέτετε QNAP NAS συσκευή, μπορείτε να προστατευτείτε ακολουθώντας τα εξής βήματα:
- Ενημερώστε το QTS, λαμβάνοντας την πιο πρόσφατη έκδοση.
- Εγκαταστήστε και ενημερώστε τον “Σύμβουλο ασφαλείας” στην πιο πρόσφατη έκδοση.
- Χρησιμοποιήστε έναν ισχυρότερο κωδικό πρόσβασης διαχειριστή.
- Ενεργοποιήστε την προστασία πρόσβασης στο δίκτυο για να προστατεύσετε τους λογαριασμούς από βίαιες επιθέσεις.
- Απενεργοποιήστε τις υπηρεσίες SSH και Telnet, εάν δεν τις χρησιμοποιείτε.
- Αποφύγετε τη χρήση των προεπιλεγμένων αριθμών θύρας 443 και 8080.
- Ενεργοποιήστε την υπηρεσία QNAP Snapshot.
- Μην συνδέσετε τη QNAP NAS συσκευή σας στο Διαδίκτυο, εκτός εάν χρειαστεί.
