Uwaga na nowy ransomware atakujący serwery NAS

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19243
Reakcje/Polubienia
56075
Celem dwóch nowych
Zaloguj lub Zarejestruj się aby zobaczyć!
(QNAPCrypt i eCh0raix) są urządzenia klasy NAS firmy QNAP. Wektor ataku jest bardzo prosty: brute force na hasło SSH lub wykorzystanie znanych podatności.

Łatwo rozpoznać infekcję, ponieważ zaszyfrowane algorytmem AES pliki otrzymują rozszerzenie .encrypt. Sam ransomware napisany jest w nowoczesnym języku Go. Bardzo możliwe, że twórca jest obywatelem naszych wschodnich sąsiadów, ponieważ malware po wykryciu celu w Białorusi, Rosji lub na Ukrainie całkowicie przerywa działanie.

Serwer C&C przestępcy jest ukryty za węzłami sieci Tor. Przed rozpoczęciem szyfrowania ransomware wykonuje do niego zapytanie o unikalny adres portfela bitcoinów, na który mają trafić pieniądze za klucz do odszyfrowania. Poza tym zamyka procesy o nazwie apache2, httpd, nginx, MySQL, mysql, PostreSQL.

Na koniec The Hacker News podaje dobrą radę:
(…) we urge users not to, unknowingly or unnecessarily, connect their NAS devices directly to the Internet, and also enable automatic updates to keep firmware up-to-date. Moreover, users are always recommended to use strong passwords to secure their NAS devices in the first place and regularly backup stored information on these devices.
Kliknij aby rozwinąć...
NAS jako miejsce dla lokalnych kopii zapasowych to świetny pomysł. Natomiast do udostępniania plików polecamy wykorzystanie publicznych usług, np. nastawionego na prywatność
Zaloguj lub Zarejestruj się aby zobaczyć!
.
Kliknij aby rozwinąć...
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!

Szerszy opis zagrożenia:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Ostatnia edycja:
Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19243
Reakcje/Polubienia
56075
Długo nie trzeba było czekać.
Atakujący usuwają pliki z publicznie dostępnych urządzeń Lenovo Iomega NAS i zostawiają żądanie okupu. Te żądania okupowe mówią, że napastnicy oddadzą pliki, jeśli dostaną zapłatę w bitcoinach

Zaloguj lub Zarejestruj się aby zobaczyć!
.

Wygląda na to to, że to bardziej skoordynowana akcja na serwery NAS.
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Zaatakowano polski szpital i oczyszczalnię. Kierunek rosyjski
Odpowiedzi
0
Wyświetleń
83
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Oracle w końcu się przyznało. Dane klientów zostały skradzione z chmury
Odpowiedzi
0
Wyświetleń
99
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Prawdopodobny wyciek danych klientów empik, dane rzekomo wykradzione z Empiku zostały sprytnie sfałszowane
Odpowiedzi
0
Wyświetleń
162
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Wyciekły dane klientów kolejnych polskich sklepów
Odpowiedzi
0
Wyświetleń
195
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
W popularnym sprzęcie medycznym wykryto chińskiego backdoora. Pilne zalecenie...
Odpowiedzi
0
Wyświetleń
164
OXYGEN THIEF
OXYGEN THIEF
Do góry