هجوم باج‌افزار eCh0raix به کیونپ و ساینالوژی

به تازگی نوع جدیدی از باج‌افزار eCh0raix کشف شده است که به طور خاص تجهیزات Network Attached Storage – به اختصار– NAS ساخت شرکت‌های ساینالوژی و کیونپ را هدف قرار می‌دهد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نخستین نسخه از باج‌افزار eCh0raix (که با نام QNAPCrypt نیز شناخته می‌شود) در ژوئن سال ۲۰۱۶ منتشر شد. این باج‌افزار چندین‌بار در مقیاس گسترده در ژوئن ۲۰۱۹ و ژوئن ۲۰۲۰ تجهیزات NAS شرکت کیونپ را هدف حملات قرار داده است.

باج‌افزار eCh0raix در سال ۲۰۱۹ نیز به تجهیزات NAS شرکت ساینالوژی، حمله کرده بود.

در گزارشی که محققان آنومالی در لینک زیر منتشر کردند اعلام شد که روش انتشار این باج‌افزار در سال ۲۰۱۹، اجرای حملات Brute-force از طریق هک رمزهای عبور یا استفاده از فهرست رمزهای عبور از قبل هک‌شده، بوده است.
https://www.anomali.com/blog/threat-actors-utilizing-ech۰raix-ransomware-change-nas-targetin

در آن زمان، ساینالوژی به مشتریان تجهیزات NAS هشدار داده بود که داده‌های خود را از حملات مداوم و در مقیاس وسیع این باج‌افزارها حفظ کنند، ولی نام گروه باج‌افزاری مسئول این حملات را ذکر نکرده بود.

درحالی‌که این باج‌افزار قبلاً در حملات جداگانه‌ای، تجهیزات هر دو شرکت ساینالوژی و کیونپ را هدف قرار داده بود، محققان امنیتی Palo Alto Network‎ اخیراً اعلام کردند که eCh0raix از ماه سپتامبر ۲۰۲۰ رمزگذاری تجهیزات NAS این دو شرکت را مجدد از سرگرفته است.

به گفته این محققان، به احتمال زیاد مهاجمان قبل از آن، تجهیزات این دو شرکت را با نسخه متفاوتی از این باج‌افزار، هدف قرار می‌دادند.

شرکت Palo Alto Network اعلام کرده است: این گروه باج‌افزاری، از آسیب‌پذیری به شناسه CVE-۲۰۲۱-۲۸۷۹۹ برای رمزگذاری دستگاه‌های کیونپ استفاده می‌کند که به مهاجم امکان دسترسی از طریق backdoor account را می‌دهد.

آسیب‌پذیری مذکور در حملات گسترده باج‌افزار Qlocker در آوریل نیز استفاده شده است.

مهاجمان با به‌کارگیری روش Brute-force با حدس زدن رمز عبور کاربران با سطح دسترسی بالا تلاش می‌کنند (با همان روش مشابه در حملات سال ۲۰۱۹ به تجهیزات ساینالوژی)، کدهای باج‌افزار را به تجهیزات NAS ساینالوژی منتقل کنند.

ساینالوژی اخیراً بدون اشاره مستقیم به باج‌افزار eCh0raix با صدور توصیه امنیتی به مشتریان خود هشدار داد که باج‌افزار StealthWorker به طور فعال و مداوم داده‌های آنها را از طریق حملات Brute-force، هدف قرار می‌دهد.

کیونپ در ماه میلادی می نیز، فقط دو هفته پس از هشدار به مشتریان خود در مورد انتشار باج‌افزار AgeLocker، به آن‌ها در مورد حملات باج‌افزار eCh0raix هشدار داد.

دستگاه‌های کیونپ از اواسط آوریل مورد حمله گسترده باج‌افزار Qlocker قرار گرفتند و مهاجمان داده‌های قربانیان را با استفاده از فایل‌های zip دارای رمز عبور، قفل و فشرده کرده و تفقط در پنج روز ۲۶۰ هزار دلار درآمد کسب کردند.

طبق اعلام شرکت امنیتی Palo Alto Network، حداقل ۲۵۰ هزار مورد از تجهیزات NAS شرکت‌های کیونپ و ساینالوژی متصل به اینترنت در معرض خطر این حملات قرار دارند.

محققان امنیتی این شرکت به کاربران کیونپ و ساینالوژی توصیه می‌کنند با به‌کارگیری روش‌های زیر با این حملات باج‌افزاری مقابله کنند:

• برای بی‌اثر کردن حملاتی از این قبیل، Firmware دستگاه به‌روز شود. جزئیات مربوط به به‌روزرسانی دستگاه‌های NAS کیونپ در برابر آسیب‌پذیری با شناسه CVE-۲۰۲۱-۲۸۷۹۹ در سایت شرکت کیونپ قابل مطالعه است.
• با ایجاد رمزهای عبور پیچیده، شانس موفقیت مهاجمان در اجرای حملات Brute-force کاهش می‌یابد.
• دسترسی به تجهیزات، تنفقط محدود به نشانی های IP مجاز باشد.

توصیه‌نامه های کیونپ در خصوص مقاوم‌سازی تجهیزات NAS در لینک‌های زیر قابل دریافت و مطالعه است:
https://blog.qnap.com/nas-internet-connect-en/
https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-securit

کاربران شرکت‌های کوچک برای مهاجمان باج‌افزاری اهداف بسیار جذابی هستند. از آنجایی که این شرکت‌های کوچک، معمولاً از متخصصان فناوری اطلاعات یا امنیت استفاده نمی‌کنند، نسبت به سازمان‌های بزرگ‌تر، آمادگی لازم را برای مقابله با این‌گونه حملات باج‌افزاری ندارند.