Eigenaren van Qnap nas-apparaten melden opnieuw aanvallen op hun systemen met de eCh0raix ransomware, ook wel bekend als QnapCrypt. In het begin van afgelopen zomer was er al een golf van aanvallen en nu is de ransomware wederom op jacht naar ongepatchte systemen.
Voornoemde constatering is het resultaat van een rapport van Bleepingcomputer. Volgens het rapport is het aantal gemelde infecties met de ech0raix extortion Trojan voor kerst met sprongen omhoog gegaan. De bedreiger achter deze specifieke malware heeft zijn activiteiten ongeveer een week voor kerst geïntensiveerd. Doel is met beheerdersrechten controle te krijgen over nas-apparaten, waarna de apparaten worden versleuteld en de eigenaren een losgeldeis van ech0raix ontvangen.
Aanvallen op Qnap nas devices zijn reeds gaande sinds mei 2021 en Bleepingcomputer forumgebruikers met Qnap en ook Synology systemen hebben regelmatig melding gemaakt van eCh0raix ransomware aanvallen. De huidige golf van gemelde incidenten begon rond 20 december. De besmettingsroute is vooralsnog onduidelijk en men is momenteel op zoek naar de gateway die wordt gebruikt.
Sommige getroffenen geven toe dat ze onvoorzichtig zijn geweest en hun nas niet goed hebben beveiligd, bijvoorbeeld door hem via een onbeveiligde verbinding met internet te verbinden. Anderen vermoeden dat een kwetsbaarheid in Qnap's Photo Station de aanvallers in staat stelde om opnieuw een ravage aan te richten. Ongeacht het aanvalspad, lijkt het erop dat degenen achter de eCh0raix ransomware een gebruiker aanmaken in de beheerdersgroep waarmee ze alle bestanden op het systeem kunnen versleutelen.
Er worden bedragen tussen 0,024 ($ 1.200) en 0,06 bitcoins ($ 3.000) geëist en er zijn ook meldingen van slachtoffers die reeds betaald hebben om hun gegevens terug te krijgen. In deze context wijst Bleepingcomputer erop dat er een gratis decrypter is voor bestanden die vergrendeld werden met een oudere versie (voor 17 juli 2019) van de eCh0raix ransomware. Er is echter geen overeenkomstige oplossing voor het decoderen van gegevens die zijn vergrendeld door de nieuwste varianten van de malware (versies 1.0.5 en 1.0.6).
Bronnen: Winfuture, Bleepingcomputer
