از سرگیری فعالیت گردانندگان باجافزار eCh0raix
فعالیت باجافزار eCh0raix پس از مدتی غیبت از سر گرفته شده است. تجهیزات موسوم به ذخیرهساز متصل به شبکه (NAS) ساخت شرکت QNAP اصلیترین هدف گردانندگان این باجافزار محسوب میشوند.
تاریخ شناسایی نخستین نسخه از eCh0raix به حدود یک سال قبل باز میگردد.
به گزارش شرکت مهندسی شبکه گستر، در حالی که فعالیت گردانندگان آن چندین ماه بود که بسیار محدود شده بود از اواسط خرداد ماه این مهاجمان با بهرهجویی (Exploit) از آسیبپذیریهای شناخته شده یا اجرای حملات موسوم به “سعی و خطا” (Brute-force) دامنه فعالیتهای آنها در آلودهسازی تجهیزات QNAP به باجافزار QNAP بهطور چشمگیری افزایش یافته است.
بهمحض آنکه دسترسی مهاجمان به دستگاه فراهم شود باجافزار نصب شده و فایلهای بر روی تجهیز رمزگذاری میشوند. eCh0raix به فایلهای رمز شده پسوند encrypt را الصاق میکند.
با پایان فرایند رمزگذاری قربانی با یک فایل موسوم به اطلاعیه باجگیری (Ransom Note) با عنوان README_FOR_DECRYPT.txt مواجه میشود. فایل مذکور حاوی لینکی به یک سایت پرداخت در سامانه TOR است. در اطلاعیه اینطور اظهار میشود که برای دریافت آنچه که مهاجمان از آن با عنوان ابزار رمزگشایی یاد میکنند باید باجی حدود 500 دلاری از طریق ارز رمز بیتکوین پرداخت شود.
یکی از قربانیان این باجافزار به سایت Bleeping Computer گزارش کرده که پس از آلوده شدن تجهیز به eCh0raix برنامههای عجیبی در کنسول AppCenter ظاهر شده است.
معلوم نیست که برنامههای مذکور، بستههای مخربی هستند که توسط مهاجمان بر روی دستگاه نصب شدهاند یا برنامههای سفارشی هستند که به سبب رمزگذاری دیگر به طور صحیح خوانده نمیشوند.
نسخ قبلی eCh0raix دارای باگی بودند که گروهی از محققان را قادر به عرضه یک ابزار برای رمزگشایی رایگان فایلهای دستدرازی شده توسط آن کرده بود. اما به نظر میرسد که در نسخه جدید eCh0raix این باگ ترمیم و اصلاح شده است.
با این حال، در صورتی که قابلیت Snapshot در QNAP فعال شده باشد میتوان از طریق آن برخی اطلاعات را به حالت اولیه برگرداند.
لازم به ذکر است که بتازگی QNAP در توصیهنامه زیر از ترمیم سه آسیبپذیری با شناسههای CVE-2018-19943،وCVE-2018-19949 و CVE-2018-19953 خبر داده است.
https://www.qnap.com/en-us/security-advisory/qsa-20-01
سوءاستفاده از آسیبپذیریهای مذکور امکان تزریق کد و در نتیجه آن اجرای کد بهصورت از راه دور را فراهم میکند.
از آنجایی که این آسیبپذیریها میتوانند مهاجمانی همچون گردانندگان eCh0raix را قادر به نصب کد باجافزار کنند توصیه میشود که راهبران محصولات QNAP در اسرع وقت نسبت به نصب نسخ جدید اقدام کنند.
رعایت اقدامات زیر برای ایمن ماندن از گزند این تهدیدات توصیه می شود:
- بهروزرسانی QTS به آخرین نسخه
- نصب و بهروزرسانی Security Counselor به آخرین نسخه
- استفاده از رمز عبور پیچیده
- فعالسازی Network Access Protection
- در صورت عدم نیاز غیرفعال کردن سرویسهای SSH و Telnet
- پرهیز از استفاده از درگاههای پیشفرض 443 و 8080
- فعال کردن سرویس QNAP Snapshot
همچنین توصیه اکید میشود که در صورت عدم نیاز ضروری، دستگاه بهصورت مستقیم بر روی اینترنت قابل دسترس نباشد.