کیونپ و ساینالوژی، هدف باج‌افزار eCh0raix

به تازگی نوع جدیدی از باج‌افزار eCh0raix کشف شده که به‌طور خاص تجهیزات Network Attached Storage  – به اختصار NAS – ساخت شرکت‌های ساینالوژی (.Synology, Inc) و کیونپ (QNAP Systems, Inc.c) را هدف قرار می‌دهد.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده روش اجرای این حمله مورد بررسی و تحلیل قرار گرفته است.

نخستین نسخه از باج‌افزار eCh0raix (که با نام QNAPCrypt نیز شناخته می‌شود) در ژوئن سال 2016 منتشر شد. این باج‌افزار چندین بار در مقیاس گسترده در ژوئن 2019 و ژوئن 2020 تجهیزات NAS شرکت کیونپ را هدف حملات قرار داده است.

باج‌افزار eCh0raix، در سال 2019 تجهیزات NAS شرکت ساینالوژی را نیز مورد حمله قرار داد. در گزارشی که محققان آنومالی در لینک زیر منتشر نموده‌اند اعلام کردند که روش انتشار این باج‌افزار در سال 2019، اجرای حملات Brute-force، از طریق هک رمزهای عبور یا استفاده از فهرست رمزهای عبور از قبل هک شده، بوده است.

https://www.anomali.com/blog/threat-actors-utilizing-ech0raix-ransomware-change-nas-targeting

در آن زمان، ساینالوژی به مشتریان تجهیزات NAS خود هشدار داده بود که داده‌های خود را از حملات مداوم و در مقیاس وسیع این باج‌افزارها حفظ کنند، ولی نام گروه باج‌افزاری مسئول این حملات را ذکر نکرد.

در حالی که این باج‌افزار قبلاً در حملات جداگانه‌ای، تجهیزات هر دو شرکت‌ ساینالوژی و کیونپ را مورد هدف قرار داده بود، محققان امنیتی پالو آلتو نتورکس (Palo Alto Networks, Inc.‎) اخیراً اعلام کردند که eCh0raix از ماه سپتامبر 2020 رمزگذاری تجهیزات NAS این دو شرکت را مجدد از سر گرفته است. به گفته این محققان، به احتمال زیاد مهاجمان قبل از آن، تجهیزات این دو شرکت را با نسخه متفاوتی از این باج‌افزار مورد هدف قرار می‌دادند.

شرکت پالو آلتو نتورکس اعلام نموده که این گروه باج‌افزاری، از آسیب‌پذیری به شناسه CVE-2021-28799 – ضعف امنیتی که به مهاجم امکان دسترسی از طریق اطلاعات اصالت‌سنجی پیش‌فرض (Backdoor Account)  را می‌دهد – برای رمزگذاری دستگاه‌های کیونپ استفاده می‌کنند. آسیب‌پذیری مذکور در حملات گسترده باج‌افزار Qlocker در آوریل نیز مورد سوءاستفاده قرار گرفته بود.

 

 

مهاجمان با بکارگیری روش Brute-force با حدس‌زدن رمز عبور کاربران با سطح دسترسی بالا تلاش می‌کنند (با همان روش مشابه در حملات سال 2019 به تجهیزات ساینالوژی)، کدهای باج‌افزار را به تجهیزات NAS ساینالوژی منتقل کنند. ساینالوژی اخیراً بدون اشاره مستقیم به باج‌افزار eCh0raix، با صدور توصیه امنیتی به مشتریان خود هشدار داد که باج‌افزار StealthWorker به طور فعال و مداوم داده‌های آنها را از طریق حملات Brute-force، مورد هدف قرار می‌دهد.

کیونپ در ماه میلادی می نیز تنها دو هفته پس از هشدار به مشتریان خود در مورد انتشار باج‌افزار AgeLocker، به آنها در مورد حملات باج‌افزار eCh0raix هشدار داد. دستگاه‌های کیونپ از اواسط آوریل مورد حمله گسترده باج‌افزار Qlocker قرار گرفتند و مهاجمان داده‌های قربانیان را با استفاده از فایل‌های 7zip دارای رمز عبور (Password-protected Archive) قفل و فشرده نموده و تنها در پنج روز 260 هزار دلار درآمد کسب کردند. طبق اعلام شرکت امنیتی پالو آلتو نتورکس، حداقل 250 هزار مورد از تجهیزات NAS شرکت‌های کیونپ و ساینالوژی متصل به اینترنت در معرض خطر این حملات قرار دارند. محققان امنیتی این شرکت به کاربران کیونپ و ساینالوژی توصیه می‌کنند با بکارگیری روشهای زیر، با این حملات باج‌افزاری مقابله کنند:

  • برای بی اثر‌کردن حملاتی از این قبیل، ثابت‌افزار (Firmware) دستگاه به‌روز شود. جزئیات مربوط به به‌روزرسانی دستگاه‌های NAS کیونپ در برابر آسیب‌پذیری با شناسه CVE-2021-28799 در سایت شرکت کیونپ قابل مطالعه است.
  • با ایجاد رمزهای عبور پیچیده‌، شانس موفقیت مهاجمان در اجرای حملات Brute-force کاهش می‌یابد.
  • دسترسی به تجهیزات، تنها محدود به نشانی‌های IP مجاز باشد.

مشروح توصیه‌نامه کیونپ درخصوص تجهیزات NAS متصل به اینترنت این شرکت، در لینک‌های زیر قابل دریافت و مطالعه است:

https://blog.qnap.com/nas-internet-connect-en/

https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-security

کاربران شرکت‌های کوچک برای مهاجمان باج‌افزاری که به دنبال حمله به اهداف بزرگتری هستند، بسیار جذاب می‌باشند. از آنجایی که این شرکت‌های کوچک، معمولاً از متخصصان فناوری اطلاعات یا امنیت استفاده نمی‌کنند، نسبت به سازمان‌های بزرگتر، آمادگی لازم را برای مقابله با این‌گونه حملات باج‌افزاری ندارند.

مشروح گزارش پالو آلتو نتورکس در لینک زیر قابل دریافت و مطالعه است:

https://unit42.paloaltonetworks.com/ech0raix-ransomware-soho/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *