Le ransomware eCh0raix cible les NAS de QNAP et Synology

0

Une variante du ransomware eCh0raix récemment découverte a ajouté la prise en charge du chiffrement des appareils NAS(Network-Attached Storage) de QNAP et Synology.

Cette souche de ransomware (également connue sous le nom de QNAPCrypt) est apparue pour la première fois en Juin 2016, après que les victimes ont commencé à signaler des attaques dans un sujet de forum.

Le ransomware a frappé les appareils NAS de QNAP en plusieurs vagues, deux à grande échelle ayant été signalés en juin 2019 et en juin 2020.

eCh0raix a également chiffré les appareils fabriqués par Synology en 2019, les chercheurs d’Anomali ayant découvert que les attaquants avaient forcé les identifiants d’administrateur à l’aide d’identifiants par défaut ou d’attaques par dictionnaire.

À l’époque, le fabricant de NAS a averti ses clients de sécuriser leurs données contre une campagne de ransomware en cours et à grande échelle. Cependant, il n’a pas nommé l’opération de ransomware responsable des attaques.

Les clients de Synology et QNAP sont les cibles

Bien qu’il ait ciblé à la fois les appareils QNAP et Synology dans le passé dans le cadre de campagnes distinctes, les chercheurs en sécurité de l’Unité 42 de Palo Alto Networks ont déclaré dans un rapport qu’eCh0raix avait commencé à regrouper des fonctionnalités pour chiffrer les deux familles de NAS à partir de septembre 2020.

« Avant cela, les attaquants disposaient probablement de bases de code distinctes pour les campagnes ciblant les appareils de chacun des fournisseurs », a déclaré l’Unité 42.

Comme ils l’ont en outre révélé, les opérateurs de ransomware exploitent CVE-2021-28799 (une vulnérabilité permettant aux attaquants d’accéder à des informations d’identification codées en dur, alias un compte de porte dérobée) pour chiffrer les appareils QNAP – la même faille a été exploitée dans une campagne Qlocker à grande échelle en Avril.

Les attaquants se frayent un chemin pour livrer les charges utiles du ransomware sur les appareils NAS de Synology en essayant de deviner les informations d’identification administratives couramment utilisées (la même tactique utilisée dans la campagne Synology de 2019 mentionnée ci-dessus).

Même s’il ne l’a pas directement connecté au ransomware eCh0raix, Synology a publié récemment un avis de sécurité avertissant les clients que le botnet StealthWorker cible activement leurs données dans des attaques par force brute en cours qui pourraient conduire à des infections de ransomware.

QNAP a également informé les clients des attaques de ransomware eCh0raix en Mai, seulement deux semaines après les avoir avertis d’une épidémie de ransomware AgeLocker en cours.

Les appareils QNAP ont également été touchés par une campagne massive de rançongiciels Qlocker à partir de la mi-avril, les auteurs de la menace gagnant 260 000 $ en seulement cinq jours en verrouillant les données des victimes à l’aide de l’archiveur de fichiers open source 7zip.

Au moins 250 000 appareils NAS exposés aux attaques

Selon les données collectées via la plate-forme Cortex Xpanse de Palo Alto Networks, il existe au moins 250 000 appareils NAS de QNAP et Synology exposés à Internet.

Les chercheurs de l’Unité 42 conseillent aux propriétaires de NAS de Synology et QNAP de suivre cette courte liste de bonnes pratiques pour bloquer les attaques de ransomware ciblant leurs données:

  • Mettez à jour le micrologiciel de l’appareil pour éviter les attaques de cette nature. Des détails sur la mise à jour des appareils NAS de QNAP par rapport à CVE-2021-28799 sont disponibles sur le site Web de QNAP.
  • Créez des mots de passe de connexion complexes pour rendre les attaques de force brute plus difficiles pour les attaquants.
  • Limitez les connexions aux appareils connectés à SOHO uniquement à partir d’une liste codée en dur d’adresses IP reconnues pour empêcher les attaques réseau utilisées pour propager des ransomwares sur les appareils.

« Nous publions nos conclusions sur cette nouvelle variante d’eCh0raix pour sensibiliser aux menaces actuelles pesant sur les TPE et les petites entreprises », a ajouté l’Unité 42.

« Les utilisateurs de SOHO sont attrayants pour les opérateurs de ransomware qui cherchent à attaquer des cibles plus importantes, car les attaquants peuvent potentiellement utiliser les périphériques NAS SOHO comme tremplin dans les attaques de la chaîne d’approvisionnement contre les grandes entreprises qui peuvent générer d’énormes rançons. »

Laisser un commentaire