Новий вимагач eCh0raix атакував мережеві накопичувачі компаній Qnap і Synology

Про це пише видання Threat post із посиланням на форум Bleeping Computer.

Вірус eCh0raix або QNAPCrypt вперше виявили в червні 2016 року. Вимагач атакував NAS-пристрої (мережеві накопичувачі) QNAP в червні 2019 року, а потім ще в червні 2020 року.

У звіті компанії, яка займається кібербезпекою, Palo Alto Network Unit 42 заявили, що новий варіант eCh0raix використовує критичну помилку CVE-2021-28799 – вразливість неправильної авторизації, яка дає зловмисникам доступ до облікового запису з жорстким кодуванням для створення бекдор-аккаунта – в програмі Hybrid Backup Sync (HBS 3) на пристроях NAS від QNAP.

HBS використовується для резервного копіювання, відновлення і синхронізації між локальними, віддаленими і хмарними сховищами.

21 квітня користувачі пристроїв Quality Network Appliance Provider (QNAP) почали повідомляти про атаки. За повідомленнями на Bleeping Computer, атак зазнали сотні користувачів.

21 червня Unit 42 виявив атаку на QNAP HBS 3 із використанням уразливості CVE-2021-28799.

За словами експертів, це не перший випадок використання цієї помилки для доставки Qlocker, але це перший випадок, коли вона була відкрита для доставки eCh0raix, також відомої як QNAPCrypt: незвичайна програма-вимагач Linux, яка використовувалася для атаки на NAS-сервери QNAP у 2019 році.

“Атака була спрямована на ідентифікатор сеансу ‘jisoosocoolhbsmgnt’ із жорстким кодуванням, щоб обійти автентифікацію і виконати команду на пристрої з метою отримати шкідливе ПО з віддаленого сервера 64 [.] 42 [.] 152 [.] 46 і запустити його на пристрої жертви”, – йдеться в повідомленні Palo Alto Network Unit 42.

• Раніше повідомлялося, що хакерська група зламала близько 200 американських компаній внаслідок широкомасштабної атаки із застосуванням програм-вимагачів.

• Корпорація Microsoft вирішила купити компанію RiskIQ, яка займається розробкою систем у сфері кібербезпеки.