-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Uwaga na nowy ransomware atakujący QNAP-y.

11 lipca 2019, 17:28 | W biegu | 0 komentarzy

Celem dwóch nowych ransomware (QNAPCrypt i eCh0raix) są urządzenia klasy NAS firmy QNAP. Wektor ataku jest bardzo prosty: brute force na hasło SSH lub wykorzystanie znanych podatności.

QNAP

Łatwo rozpoznać infekcję, ponieważ zaszyfrowane algorytmem AES pliki otrzymują rozszerzenie .encrypt. Sam ransomware napisany jest w nowoczesnym języku Go. Bardzo możliwe, że twórca jest obywatelem naszych wschodnich sąsiadów, ponieważ malware po wykryciu celu w Białorusi, Rosji lub na Ukrainie całkowicie przerywa działanie.

Serwer C&C przestępcy jest ukryty za węzłami sieci Tor. Przed rozpoczęciem szyfrowania ransomware wykonuje do niego zapytanie o unikalny adres portfela bitcoinów, na który mają trafić pieniądze za klucz do odszyfrowania. Poza tym zamyka procesy o nazwie apache2, httpd, nginx, MySQL, mysql, PostreSQL.

Na koniec The Hacker News podaje dobrą radę:

(…) we urge users not to, unknowingly or unnecessarily, connect their NAS devices directly to the Internet, and also enable automatic updates to keep firmware up-to-date. Moreover, users are always recommended to use strong passwords to secure their NAS devices in the first place and regularly backup stored information on these devices.

NAS jako miejsce dla lokalnych kopii zapasowych to świetny pomysł. Natomiast do udostępniania plików polecamy wykorzystanie publicznych usług, np. nastawionego na prywatność Firefox Send.

Temat skomentował również sam QNAP.

–mg

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz