به تازگی نوع جدیدی از باجافزار eCh0raix کشف شده است که به طور خاص تجهیزات Network Attached Storage – به اختصار– NAS ساخت شرکتهای ساینالوژی و کیونپ را هدف قرار میدهد.
منبع : مرکز مدیریت راهبردی افتا
به تازگی نوع جدیدی از باجافزار eCh0raix کشف شده است که به طور خاص تجهیزات Network Attached Storage – به اختصار– NAS ساخت شرکتهای ساینالوژی و کیونپ را هدف قرار میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نخستین نسخه از باجافزار eCh0raix (که با نام QNAPCrypt نیز شناخته میشود) در ژوئن سال ۲۰۱۶ منتشر شد. این باجافزار چندینبار در مقیاس گسترده در ژوئن ۲۰۱۹ و ژوئن ۲۰۲۰ تجهیزات NAS شرکت کیونپ را هدف حملات قرار داده است.
باجافزار eCh0raix در سال ۲۰۱۹ نیز به تجهیزات NAS شرکت ساینالوژی، حمله کرده بود.
در گزارشی که محققان آنومالی در لینک زیر منتشر کردند اعلام شد که روش انتشار این باجافزار در سال ۲۰۱۹، اجرای حملات Brute-force از طریق هک رمزهای عبور یا استفاده از فهرست رمزهای عبور از قبل هکشده، بوده است. https://www.anomali.com/blog/threat-actors-utilizing-ech۰raix-ransomware-change-nas-targetin
در آن زمان، ساینالوژی به مشتریان تجهیزات NAS هشدار داده بود که دادههای خود را از حملات مداوم و در مقیاس وسیع این باجافزارها حفظ کنند، ولی نام گروه باجافزاری مسئول این حملات را ذکر نکرده بود.
درحالیکه این باجافزار قبلاً در حملات جداگانهای، تجهیزات هر دو شرکت ساینالوژی و کیونپ را هدف قرار داده بود، محققان امنیتی Palo Alto Network اخیراً اعلام کردند که eCh0raix از ماه سپتامبر ۲۰۲۰ رمزگذاری تجهیزات NAS این دو شرکت را مجدد از سرگرفته است.
به گفته این محققان، به احتمال زیاد مهاجمان قبل از آن، تجهیزات این دو شرکت را با نسخه متفاوتی از این باجافزار، هدف قرار میدادند.
شرکت Palo Alto Network اعلام کرده است: این گروه باجافزاری، از آسیبپذیری به شناسه CVE-۲۰۲۱-۲۸۷۹۹ برای رمزگذاری دستگاههای کیونپ استفاده میکند که به مهاجم امکان دسترسی از طریق backdoor account را میدهد.
آسیبپذیری مذکور در حملات گسترده باجافزار Qlocker در آوریل نیز استفاده شده است. مهاجمان با بهکارگیری روش Brute-force با حدس زدن رمز عبور کاربران با سطح دسترسی بالا تلاش میکنند (با همان روش مشابه در حملات سال ۲۰۱۹ به تجهیزات ساینالوژی)، کدهای باجافزار را به تجهیزات NAS ساینالوژی منتقل کنند.
ساینالوژی اخیراً بدون اشاره مستقیم به باجافزار eCh0raix با صدور توصیه امنیتی به مشتریان خود هشدار داد که باجافزار StealthWorker به طور فعال و مداوم دادههای آنها را از طریق حملات Brute-force، هدف قرار میدهد.
کیونپ در ماه میلادی می نیز، فقط دو هفته پس از هشدار به مشتریان خود در مورد انتشار باجافزار AgeLocker، به آنها در مورد حملات باجافزار eCh0raix هشدار داد.
دستگاههای کیونپ از اواسط آوریل مورد حمله گسترده باجافزار Qlocker قرار گرفتند و مهاجمان دادههای قربانیان را با استفاده از فایلهای zip دارای رمز عبور، قفل و فشرده کرده و تفقط در پنج روز ۲۶۰ هزار دلار درآمد کسب کردند.
طبق اعلام شرکت امنیتی Palo Alto Network، حداقل ۲۵۰ هزار مورد از تجهیزات NAS شرکتهای کیونپ و ساینالوژی متصل به اینترنت در معرض خطر این حملات قرار دارند.
محققان امنیتی این شرکت به کاربران کیونپ و ساینالوژی توصیه میکنند با بهکارگیری روشهای زیر با این حملات باجافزاری مقابله کنند:
• برای بیاثر کردن حملاتی از این قبیل، Firmware دستگاه بهروز شود. جزئیات مربوط به بهروزرسانی دستگاههای NAS کیونپ در برابر آسیبپذیری با شناسه CVE-۲۰۲۱-۲۸۷۹۹ در سایت شرکت کیونپ قابل مطالعه است. • با ایجاد رمزهای عبور پیچیده، شانس موفقیت مهاجمان در اجرای حملات Brute-force کاهش مییابد. • دسترسی به تجهیزات، تنفقط محدود به نشانی های IP مجاز باشد.
توصیهنامه های کیونپ در خصوص مقاومسازی تجهیزات NAS در لینکهای زیر قابل دریافت و مطالعه است: https://blog.qnap.com/nas-internet-connect-en/ https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-securit
کاربران شرکتهای کوچک برای مهاجمان باجافزاری اهداف بسیار جذابی هستند. از آنجایی که این شرکتهای کوچک، معمولاً از متخصصان فناوری اطلاعات یا امنیت استفاده نمیکنند، نسبت به سازمانهای بزرگتر، آمادگی لازم را برای مقابله با اینگونه حملات باجافزاری ندارند.