به تازگی نوع جدیدی از باجافزار eCh0raix کشف شده که بهطور خاص تجهیزات Network Attached Storage – به اختصار NAS – ساخت شرکتهای ساینالوژی (.Synology, Inc) و کیونپ (QNAP Systems, Inc.c) را هدف قرار میدهد.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده روش اجرای این حمله مورد بررسی و تحلیل قرار گرفته است.
نخستین نسخه از باجافزار eCh0raix (که با نام QNAPCrypt نیز شناخته میشود) در ژوئن سال 2016 منتشر شد. این باجافزار چندین بار در مقیاس گسترده در ژوئن 2019 و ژوئن 2020 تجهیزات NAS شرکت کیونپ را هدف حملات قرار داده است.
باجافزار eCh0raix، در سال 2019 تجهیزات NAS شرکت ساینالوژی را نیز مورد حمله قرار داد. در گزارشی که محققان آنومالی در لینک زیر منتشر نمودهاند اعلام کردند که روش انتشار این باجافزار در سال 2019، اجرای حملات Brute-force، از طریق هک رمزهای عبور یا استفاده از فهرست رمزهای عبور از قبل هک شده، بوده است.
https://www.anomali.com/blog/threat-actors-utilizing-ech0raix-ransomware-change-nas-targeting
در آن زمان، ساینالوژی به مشتریان تجهیزات NAS خود هشدار داده بود که دادههای خود را از حملات مداوم و در مقیاس وسیع این باجافزارها حفظ کنند، ولی نام گروه باجافزاری مسئول این حملات را ذکر نکرد.
در حالی که این باجافزار قبلاً در حملات جداگانهای، تجهیزات هر دو شرکت ساینالوژی و کیونپ را مورد هدف قرار داده بود، محققان امنیتی پالو آلتو نتورکس (Palo Alto Networks, Inc.) اخیراً اعلام کردند که eCh0raix از ماه سپتامبر 2020 رمزگذاری تجهیزات NAS این دو شرکت را مجدد از سر گرفته است. به گفته این محققان، به احتمال زیاد مهاجمان قبل از آن، تجهیزات این دو شرکت را با نسخه متفاوتی از این باجافزار مورد هدف قرار میدادند.
شرکت پالو آلتو نتورکس اعلام نموده که این گروه باجافزاری، از آسیبپذیری به شناسه CVE-2021-28799 – ضعف امنیتی که به مهاجم امکان دسترسی از طریق اطلاعات اصالتسنجی پیشفرض (Backdoor Account) را میدهد – برای رمزگذاری دستگاههای کیونپ استفاده میکنند. آسیبپذیری مذکور در حملات گسترده باجافزار Qlocker در آوریل نیز مورد سوءاستفاده قرار گرفته بود.
مهاجمان با بکارگیری روش Brute-force با حدسزدن رمز عبور کاربران با سطح دسترسی بالا تلاش میکنند (با همان روش مشابه در حملات سال 2019 به تجهیزات ساینالوژی)، کدهای باجافزار را به تجهیزات NAS ساینالوژی منتقل کنند. ساینالوژی اخیراً بدون اشاره مستقیم به باجافزار eCh0raix، با صدور توصیه امنیتی به مشتریان خود هشدار داد که باجافزار StealthWorker به طور فعال و مداوم دادههای آنها را از طریق حملات Brute-force، مورد هدف قرار میدهد.
کیونپ در ماه میلادی می نیز تنها دو هفته پس از هشدار به مشتریان خود در مورد انتشار باجافزار AgeLocker، به آنها در مورد حملات باجافزار eCh0raix هشدار داد. دستگاههای کیونپ از اواسط آوریل مورد حمله گسترده باجافزار Qlocker قرار گرفتند و مهاجمان دادههای قربانیان را با استفاده از فایلهای 7zip دارای رمز عبور (Password-protected Archive) قفل و فشرده نموده و تنها در پنج روز 260 هزار دلار درآمد کسب کردند. طبق اعلام شرکت امنیتی پالو آلتو نتورکس، حداقل 250 هزار مورد از تجهیزات NAS شرکتهای کیونپ و ساینالوژی متصل به اینترنت در معرض خطر این حملات قرار دارند. محققان امنیتی این شرکت به کاربران کیونپ و ساینالوژی توصیه میکنند با بکارگیری روشهای زیر، با این حملات باجافزاری مقابله کنند:
- برای بی اثرکردن حملاتی از این قبیل، ثابتافزار (Firmware) دستگاه بهروز شود. جزئیات مربوط به بهروزرسانی دستگاههای NAS کیونپ در برابر آسیبپذیری با شناسه CVE-2021-28799 در سایت شرکت کیونپ قابل مطالعه است.
- با ایجاد رمزهای عبور پیچیده، شانس موفقیت مهاجمان در اجرای حملات Brute-force کاهش مییابد.
- دسترسی به تجهیزات، تنها محدود به نشانیهای IP مجاز باشد.
مشروح توصیهنامه کیونپ درخصوص تجهیزات NAS متصل به اینترنت این شرکت، در لینکهای زیر قابل دریافت و مطالعه است:
https://blog.qnap.com/nas-internet-connect-en/
https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-security
کاربران شرکتهای کوچک برای مهاجمان باجافزاری که به دنبال حمله به اهداف بزرگتری هستند، بسیار جذاب میباشند. از آنجایی که این شرکتهای کوچک، معمولاً از متخصصان فناوری اطلاعات یا امنیت استفاده نمیکنند، نسبت به سازمانهای بزرگتر، آمادگی لازم را برای مقابله با اینگونه حملات باجافزاری ندارند.
مشروح گزارش پالو آلتو نتورکس در لینک زیر قابل دریافت و مطالعه است:
https://unit42.paloaltonetworks.com/ech0raix-ransomware-soho/