Een onlangs ontdekte variant van de eCh0raix-ransomware heeft ondersteuning voor het versleutelen van network-attached storage-apparaten van Synology en Qnap. Deze ransomware die ook wel bekend is als QNAPCrypt werd voor het eerst opgemerkt in juni 2016, twee grote aanvallen werden in juni 2019 en juni 2020 gerapporteerd door Qnap-gebruikers. In 2019 werden ook ook Synology-devices geraakt, uit onderzoek bleek dat hiervoor brute-force-aanvallen met lijsten van standaard-inloggegevens gebruikt werden.
In een rapport van Palo Alto Networks' Unit 42-onderzoekers dat gisteren verscheen wordt gezegd dat de losse codebases die waarschijnlijk gebruikt werden sinds september 2020 gebundeld zijn voor aanvallen op apparaten van beide fabrikanten. Verder is ontdekt dat voor het versleutelen van Qnap-devices exploit CVE-2021-28799 uitgebuit werd, net als bij een grootschalige reeks van Qlocker-aanvallen in april dit jaar. Hierbij werd in vijf dagen 260.000 Amerikaanse dollar buitgemaakt door het versleutelen van data met de open-source 7zip-software om bestanden te archiveren of comprimeren.
Voor Synology wordt nog steeds gebruik gemaakt van veelgebruikte administrator-gegevens. Hoewel er geen directe link wordt gelegd heeft het merk vorige week wel een beveiligingsadvies uitgebracht waarin klanten gewaarschuwd worden voor actieve brute-force aanvallen van het StealthWorker-botnet, die tot ransomware-besmettingen kunnen leiden. In mei heeft Qnap zijn gebruikers ook al gewezen op eCh0raix-aanvallen, twee weken na een bericht over een aanhoudende AgeLocker-uitbraak.
Update 11/08/2021 12:15
Vanwege de eerder gedeelde informatie zal Qnap geen nieuw persbericht naar buiten brengen. Deze blog kan als reactie gezien worden, hierin worden de risico's van het direct met het internet verbinden van een nas beschreven.
Volgens het onderzoeksbureau zijn er minimaal 250.000 via het internet blootgestelde nas-devices van de twee bedrijven. Het wordt aanbevolen zoveel mogelijk de laatste firmware-updates te installeren en lange, complexe wachtwoorden te gebruiken om brute-forcing tegen te gaan. Verder wordt voor kleine bedrijven aangeraden alleen verbindingen met de nas toe te staan vanaf een white list van herkende ip-adressen. Dit is bedoeld om aanvallen waarbij via het netwerk de ransomware binnenkomt wordt moeilijker te maken. Deze gebruikers zijn aantrekkelijk voor de ransomware-uitbuiters omdat deze het mogelijk kunnen maken om hoger in de bevoorradingsketen te komen, waarbij in het geval van grote ondernemingen enorme losprijzen gevraagd kunnen worden.
Unit 42 blijft nieuwe informatie over deze nieuwe eCh0raix-variant delen, om kleine bedrijven op de hoogte te brengen van de aanhoudende bedrijven voor deze sectoren.
Bron: Bleeping Computer
