Dispositivos QNAP NAS são alvo de ataques de ransomware

Views: 446
0 0
Read Time:4 Minute, 1 Second

Dispositivos QNAP NAS são alvo de ataques de ransomware. O grupo de ransomware eCh0raix retorna com uma nova onda de ataques contra dispositivos NAS da QNAP. 

Os operadores do eCh0raix ransomware lançaram outra onda de ataques contra dispositivos NAS (QNAP network-storage storage).

A turma do eCh0raix está ativa desde junho de 2019 , quando implantou a primeira versão do seu ransomware. Apesar de sua versão inicial do ransomware descriptografada, o grupo nunca desapareceu, implantando uma versão mais recente que os pesquisadores de segurança não conseguiam decifrar.

A atividade do grupo desacelerou desde o ano passado, principalmente por causa da concorrência de gangues de ransomware rivais visando dispositivos QNAP NAS, como os grupos Muhstik e QSnatch , mas também de operadores de botnet IoT.

No entanto, o grupo voltou à vida recentemente e esse novo aumento de atividade pode ser atribuído à publicação recente de um relatório de segurança detalhando três vulnerabilidades críticas que afetam os dispositivos QNAP .

O ZDNet abordou as três vulnerabilidades como parte da cobertura de cibersegurança do site. Dias após o artigo, o repórter começou a receber solicitações de suporte de proprietários desesperados de QNAP NAS, procurando uma maneira de recuperar arquivos que foram criptografados por um misterioso ransomware, que acabou sendo o eCh0raix.

Por mais de duas semanas, os proprietários da QNAP para o fórum Bleeping Computer sobre o eCh0raix , e observou-se um fluxo constante de novas vítimas relatando infecções por ech0raix. Os relatórios, no entanto, explodiram no início do mês.

Como o site Bleeping Computer observou, o grupo eCh0raix aumentou as operações desde o dia primeiro. Além de um novo fluxo de vítimas relatando dados NAS criptografados em seu fórum, o site também citou estatísticas do ID-Ransomware, um serviço que permite aos usuários identificar a versão do ransomware que criptografou seus arquivos. O ID-Ransomware também viu um pico semelhante nos fóruns do Bleeping Computer.

id-ransomware-stats.jpg
Imagem : Bleeping Computer e ID-Ransomware

O QUE OS USUÁRIOS DA QNAP PRECISAM SABER

Historicamente, a gangue eCh0raix usou explorações e ataques de força bruta. Eles usam explorações para direcionar vulnerabilidades em dispositivos QNAP antigos sem patch e usam ataques de força bruta para adivinhar senhas de administrador fracas e comuns.

Embora não esteja confirmado, é muito possível que o grupo eCh0raix tenha incorporado as vulnerabilidades QNAP divulgadas recentemente em seus ataques, o que pode explicar o repentino aumento da atividade. As três vulnerabilidades da QNAP são fáceis de explorar e automatizar, além de fornecer controle total sobre um dispositivo atacado.

Recomenda-se fortemente aos proprietários de NAS da QNAP que atualizem o firmware da QNAP e qualquer software, aplicativo ou complemento da QNAP que possam estar em execução no dispositivo.

Da mesma forma, os proprietários de dispositivos da QNAP também são aconselhados a alterar a senha do dispositivo para algo único e difícil de adivinhar.

Instruções sobre como fazer as duas coisas e executar outras etapas de segurança são fornecidas nestas páginas de suporte da QNAP [ 1 , 2 ]. Ambas as medidas impediriam a quadrilha do eCh0raix de controlar seus sistemas e criptografar seus arquivos.

As versões atuais do eCh0raix ransomware são indecifráveis, a menos que as vítimas paguem a demanda do resgate usando um link para um portal da Web dark que a turma do ransomware deixa nos sistemas NAS invadidos, dentro de um arquivo de texto.

ech0raix-decrypter.png
Imagem: ZDNet

Entretanto, é desaconselhável pagar o resgate, pois isso apenas gera lucro para os criminosos e motiva a gangue de ransomware a continuar seus ataques – daí a razão pela qual a gangue eCh0raix não desistiu após ter sua primeira versão descriptografada. Os lucros eram bons demais.

Atualmente, existem cerca de meio milhão de dispositivos QNAP conectados à Internet. Os dispositivos QNAP, por sua natureza, devem ser conectados online, portanto, colocá-los off-line anula o principal objetivo de ter um. 

Dia 05 de junho, a QNAP lançou um comunicado para três vulnerabilidades identificadas como CVE-2018-19943, CVE-2018-19949 e CVE-2018-19953, que permitem aos invasores injetar código malicioso ou executar a execução remota de código.

Essas vulnerabilidades são corrigidas nas seguintes versões do sistema operacional QTS:

QTS:

  • QTS 4.4.1: compilação 20190918 e posterior
  • QTS 4.3.6: compilação 20190919 e posterior

Estação da foto:

  • QTS 4.4.1: Photo Station 6.0.3 e posterior
  • QTS 4.3.4 – QTS 4.4.0: Photo Station 5.7.10 e posterior
  • QTS 4.3.0 – QTS 4.3.3: Photo Station 5.4.9 e posterior
  • QTS 4.2.6: Photo Station 5.2.11 e posterior

Como essas vulnerabilidades podem ser usadas pelos atacantes para instalar o código de ransomware em dispositivos vulneráveis, é altamente recomendável instalar essas atualizações imediatamente.

FONTE: MINUTO DA SEGURANÇA

POSTS RELACIONADOS