nas

Les NAS ciblés par un nouveau Ransomware

Il semblerait qu’une nouvelle famille de ransomware cible les services de stockage en réseau (NAS) fabriqués par QNAP Systems.

Plutôt utilisé à la maison et dans les petites entreprises, les NAS sont des serveurs de fichiers autonomes, connecté à un réseau, dont la principale fonction est le stockage de données en un volume centralisé pour des clients réseau hétérogènes. .

Découverte par des chercheurs de deux entreprises de sécurité, Intezer et Anomali, cette nouvelle famille de ransomware cible les serveurs NAS QNAP qui sont faiblement protégés ou vulnérable en lançant des attaques des attaques de force brute sur les faibles authentifications SSH ou en exploitant des vulnérabilités connues.

Nommé “QNAPCrypt” par Intezer et “eCh0raix” par Anomali, le nouveau ransomware a été conçu avec le langage de programmation Go et chiffre les fichiers avec des extensions ciblées en utilisant le chiffrement AES et ajoute l’extension .encrypt à chaque fichier.

Cependant, si l’appareil NAS compromis se trouve en Biélorussie, en Ukraine, ou en Russie, le ransomware arrête le processus de chiffrement de fichiers et disparaît sans endommager de fichiers.

Nous allons aussi expliqué comment les chercheurs ont utilisé une faiblesse dans l’infrastructure du ransomware pour empêcher au malware d’infecter de nouvelles victimes temporairement.

nas ransomware malware

Lors de l’exécution, le ransomware commence par se connecter à son serveur C&C, protéger derrière le réseau Tor, en utilisant un proxy Tor SOCKS5 pour informer les pirates à propos des nouvelles victimes.

“En se basant sur l’analyse il est clair que le proxy a été mis en place par l’auteur du malware pour fournir un accès au réseau sans avoir à inclure de fonctionnalité Tor dans la malware,” ont déclaré les chercheurs d’Anomali.

Avant de chiffrer les fichiers, le ransomware demande au serveur C&C de lui fournir une adresse unique de porte-feuille bitcoin, les victimes devront transférer le montant de la rançon vers ce porte-feuille. Le serveur C&C contient une liste prédéfinie d’adresses bitcoin déjà créées.

nas ransomware malware

Si le serveur est à cours d’adresses bitcoin, le ransomware ne chiffre pas les fichiers et attend que les pirates lui fournissent une nouvelle adresse.

Les chercheurs d’Intezer se sont joué de ce mécanisme en créant un script qui leur a permit de forcer le serveur C&C des pirates à assigner toutes les adresses bitcoin disponibles aux centaines de victimes virtuelles. Le ransomware a donc arrêter de chiffrer les fichiers des nouvelles victimes care il n’a plus d’adresses bitcoin disponibles.

“Vu que les auteurs du ransomware ne délivraient qu’un porte-feuille Bitcoin par victime depuis une source statique de porte-feuilles déjà générés, nous avions la possibilité de reproduire les paquets d’infection pour récupérer tout les porte-feuilles jusqu’à ce qu’ils n’aient plus de porte-feuilles sous leur contrôle,” a révélé Intezer.

“Nous avons pu rassembler un total de 1091 porte-feuilles uniques qui devaient être délivré aux nouvelles victimes dans 15 différentes campagnes d’infection.”

Si le ransomware obtient son porte-feuille unique de bitcoin, il génère une chaîne de 32 caractères pour créer une clé secrète AES-256 et l’utilise ensuite pour chiffrer tout les fichiers stockés sur le NAS ciblé avec l’algorithme AES en mode Cipher Feedback (CFB), supprimant les fichiers originaux.

nas ransomware malware payment

Comme le module de chiffrement utilise une librairie de math pour générer une clé secrète, Anomali a déclaré qu’il est possible que les chercheurs puissent écrire un déchiffreur pour cette nouvelle famille de ransomware car la fonction n’est pas aléatoire.

“D’habitude les malware initialisent la page math aléatoire avec l’heure actuelle. Dans notre cas ils utilisent la librairie math pour générer une clé secrète, ce n’est pas de la cryptographie aléatoire, il est donc possible d’écrire un déchiffreur,” ont affirmé les chercheurs d’Anomali.

Les chercheurs ont aussi remarqué qu’avant de chiffrer les fichiers stockés sur les NAS ciblés, le ransomware essaye de mettre fin à une liste spécifique de processus, tel que apache2, httpd, nginx, MySQL, mysql et PostgreSQL.

Comment se protéger de ce ransomware qui cible les NAS?

Il est recommandé aux utilisateurs de ne pas connecter leur NAS directement à internet si cela n’est pas nécessaire, et d’activer les mises à jour automatique pour que le firmware soit à jour.

Il faut aussi utilisé des mots de passe forts pour sécuriser les NAS et de faire des sauvegardes régulièrement pour que les données importantes puissent être récupéré sans avoir à payer de rançon aux pirates.

Si cet article vous a plu, vous pourriez être intéressé par notre précédent article lié à un ransomware.