eCh0raix可能会对美国超过19,000个系统造成风险
Anomali的研究人员发现了一种针对QNAP Systems网络附加存储(NAS)设备用户的新勒索软件。
恶意软件的运营商似乎通过强制弱凭证或利用其中的已知漏洞来获取对设备的访问权。然而,安全供应商在周三发布的一份咨询报告中表示,确切的感染媒介目前尚不清楚。
这个被称为ech0raix的勒索软件似乎是为有针对性的攻击而设计的,而不仅仅是为了大规模分发。Anomali分析的一些恶意软件样本中的硬编码加密密钥似乎具有与之相关的唯一解密密钥,这意味着同一个解密器对所有受害者都不起作用。
总部位于台湾的QNAP是全球NAS市场的主要参与者。
Anomali的威胁情报经理Joakim Kennedy表示:“我们已经看到了一个完全'离线'的版本以及一个可以在C2服务器启动之前获取比特币钱包和公钥的版本。”
在线版本在启动时会对其命令和控制服务器发出警报,并完成对受感染设备上的文件的加密。但是,发送回C2服务器的信息不包含任何可以向攻击者透露受害者身份的跟踪数据。
另一方面,离线版本具有嵌入在恶意软件中的加密信息,并且似乎针对特定目标进行了编译。Kennedy说,这些样本中的硬编码公钥用于加密和解密文件的AES密钥。
eCh0raix是用于针对性攻击的勒索软件的最新示例。许多安全厂商报告称,在过去几个月中,一般勒索软件活动大幅减少。但与此同时,针对企业组织的攻击急剧增加。
在其“ 2019年互联网安全威胁报告 ”中,赛门铁克指出2018年端点上的勒索软件感染与前一年相比下降了20% , 这是2013年以来的首次下降。然而,重要的是,去年所有勒索软件感染中有81%涉及企业 ,这与几年前消费者成为主要目标时的情况大相径庭。
保护不足的系统
使用ech0raix,其背后的威胁因素是针对人们用于备份和文件存储目的的Qnap NAS设备。此类设备通常不运行防病毒或反恶意软件产品,这意味着Ech0raix可以在它们上运行,而很少被检测到。Anomali说,通过virustotal上的两到三个反恶意软件工具检测到Anomali分析的样本。
目前还不清楚eCh0raix的运营商是针对较旧的QNAP设备还是更新的QNAP设备,但很可能他们正在扫描互联网以寻找可访问的设备。基于Anomali自己的互联网扫描,目前在美国似乎有超过19,000个面向公众的QNAP设备。肯尼迪说,尚不清楚这些设备中有多少部署在企业组织中。
肯尼迪指出,恶意软件的有趣之处在于它以NAS设备为目标。除了具有相对较少的保护之外,这些设备通常用于存储重要文件和备份,尤其是在企业设置中。因此,NAS设备为勒索软件作者提供了一个潜在的有利可图的目标,他说。
一些恶意软件的受害者报告说,在被感染之前,他们看到了大量失败的登录尝试,这表明他们遭到了野蛮的凭证攻击。其他人报告他们的系统没有完全修补,表明攻击者可能正在利用qnap-nas上的漏洞。
从技术角度来看,eCh0raix是一个用Go编程语言编写的相当基本的勒索软件工具。在恶意软件执行之前,它会终止被感染机器上的几个进程并查找要避免的某些文件,例如/ boot /,/ proc /,/ sys /,/ run /和/ dev /,Anomali说。然后,它会查找并加密系统上的所有数据,图像,媒体和内存转储相关文件。
肯尼迪说,恶意软件是企业锁定所有面向互联网资产的又一个提醒。”组织应该执行资产管理,并确保只有必要的设备是公开的,”他说。应使用强大的登录凭据,并使用最新补丁更新系统,以确保不太可能受到攻击。”
内容来源:information week
https://www.darkreading.com/attacks-breaches/new-ransomware-targets-qnaps-network-attached-storage-devices/d/d-id/1335210?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple
攻击的针对性越强,造成的影响只会更加恶劣,此次全新的勒索软件针对QNAP Systems的NAS产品的攻击事件已经为各企业组织敲响了警钟,信息安全专家提醒广大客户一定要提前做好防范勒索病毒的部署。优炫软件可提供操作系统安全、数据库安全、边界防护、云安全、运维安全、业务安全六大核心数据保护产品和整体解决方案,通过优炫操作系统安全增强系统、优炫数据库、漏洞扫描系统等系列产品的部署,可为客户提供安全稳定、可靠的定制化服务。
2019-07-12 09:11:20
