Σύμφωνα με αναφορές χρηστών και υποβολές δειγμάτων στην πλατφόρμα ID Ransomware, το ech0raix ransomware άρχισε να στοχεύει ξανά ευάλωτες Network Attached Storage (NAS) συσκευές της QNAP. Οι αναφορές έχουν ξεκινήσει από την περασμένη εβδομάδα.
Το ransomware, γνωστό και ως “QNAPCrypt“, είναι γραμμένο στη γλώσσα προγραμματισμού Go και χρησιμοποιεί κρυπτογράφηση AES για την κρυπτογράφηση αρχείων. Ο κακόβουλος κώδικας προσθέτει την επέκταση .encrypt στα ονόματα των κρυπτογραφημένων αρχείων.
Δείτε επίσης: Διακόπηκε η λειτουργία του ρωσικού botnet RSocks
Το ech0raix ransomware είχε στοχεύσει πελάτες QNAP NAS συσκευών και στο παρελθόν με τις πρώτες επιθέσεις να ξεκινούν το καλοκαίρι του 2019. Έκτοτε, αρκετές άλλες καμπάνιες έχουν εντοπιστεί και αναφερθεί από τα θύματα αυτού του τύπου ransomware. Ένα τεράστιο κύμα επιθέσεων ξεκίνησε στα μέσα Δεκεμβρίου 2021 (ακριβώς πριν από τα Χριστούγεννα) και υποχώρησε σταδιακά στις αρχές Φεβρουαρίου 2022.
 συσκευές της QNAP. Οι αναφορές έχουν ξεκινήσει){kind=link}
Ωστόσο, τώρα φαίνεται πως οι QNAP NAS συσκευές βρίσκονται ξανά στο στόχαστρο του ech0raix ransomware, αν λάβουμε υπόψη τις αυξημένες υποβολές στο ID Ransomware.
Αν και έχουν υποβληθεί μόνο μερικές δεκάδες δείγματα ech0raix, ο πραγματικός αριθμός των επιτυχημένων επιθέσεων είναι πιθανότατα υψηλότερος, καθώς μόνο μερικά από τα θύματα θα χρησιμοποιήσουν την υπηρεσία ID Ransomware για να αναγνωρίσουν το ransomware που στόχευσε τις QNAP NAS συσκευές τους.
Αυτό το ransomware έχει χρησιμοποιηθεί και για την κρυπτογράφηση συστημάτων Synology NAS από τον Αύγουστο του 2021. Ωστόσο, στις νέες επιθέσεις, τα θύματα έχουν αναφερθεί μόνο σε συσκευές QNAP NAS.
Δείτε επίσης: TikTok: Κινέζοι υπάλληλοι είχαν πρόσβαση σε δεδομένα Αμερικανών χρηστών
Πώς να προστατεύσετε τις QNAP NAS συσκευές σας από το ech0raix ransomware;
Ενώ η QNAP δεν έχει εκδώσει ακόμη προειδοποίηση για να ειδοποιήσει τους πελάτες για αυτές τις επιθέσεις, η εταιρεία τους είχε προτρέψει στο παρελθόν να προστατεύσουν τα δεδομένα τους από πιθανές επιθέσεις eCh0raix:
- χρησιμοποιώντας ισχυρότερους κωδικούς πρόσβασης για τα administrator accounts
- ενεργοποιώντας το IP Access Protection για την προστασία των λογαριασμών από brute force επιθέσεις
- και αποφεύγοντας τη χρήση default port numbers 443 και 8080
Λεπτομέρειες σχετικά με την αλλαγή του κωδικού πρόσβασης NAS, την ενεργοποίηση του IP Access Protection και την αλλαγή του system port number, μπορείτε να βρείτε σε αυτό το security advisory.
Η εταιρεία έχει, επίσης, προτρέψει τους πελάτες της να απενεργοποιήσουν το Universal Plug and Play (UPnP) port forwarding στους δρομολογητές τους για να αποτρέψουν την έκθεση των συσκευών NAS σε επιθέσεις από το Διαδίκτυο.
Δείτε επίσης: Cisco: Δεν θα διορθώνουμε zero-day RCE σε EOL VPN routers
Πριν λίγες ημέρες, η QNAP προειδοποίησε τους πελάτες να ασφαλίσουν τις συσκευές τους έναντι επιθέσεων που σχετίζονται με το DeadBolt ransomware.
“Σύμφωνα με την έρευνα της Ομάδας Αντιμετώπισης Περιστατικών Ασφάλειας Προϊόντων QNAP (QNAP PSIRT), η επίθεση στόχευε συσκευές NAS που χρησιμοποιούν QTS 4.3.6 και QTS 4.4.1 και τα μοντέλα που επηρεάστηκαν ήταν κυρίως της σειράς TS-x51 και της σειράς TS-x53“, είπε η εταιρεία.
“Η QNAP προτρέπει όλους τους χρήστες NAS να ελέγξουν και να ενημερώσουν το QTS στην πιο πρόσφατη έκδοση το συντομότερο δυνατό και να αποφύγουν την έκθεση των NAS τους στο Διαδίκτυο“.
Πηγή: www.bleepingcomputer.com