کمیته رکن چهارم – دستگاههای NAS شرکت کیونپ، هدف حملات باجافزار ech0raix قرار گرفتند.
دستگاههای ذخیرهسازی متصل به شبکه (Netwotk-Attached Storage – بهاختصار NAS) ساخت شرکت کیونپ (QNAP Systems, Inc.) بهتازگی هدف حملات باجافزار eCh۰raix، قرار گرفتهاند.
گردانندگان این باجافزار، حدود یک هفته قبل از کریسمس، فعالیت خود را تشدید و با ایجاد یک حساب کاربری در گروه Administrator، فایلهای موجود در دستگاهها را رمزگذاری میکنند. باجافزار eCh۰raix که به نام QNAPCrypt نیز شناخته میشود از ژوئن ۲۰۱۹، زمانی که اولین نسخه از این باجافزار منتشر شد، تاکنون یک تهدید دائمی بوده است.
علیرغم انتشار رمزگشای رایگان برای نسخه اولیه آن، فعالیت این باجافزار هرگز متوقف نشد و گردانندگان آن همواره نسخه جدیدتری را در حملات خود به کار میگیرند. این باجافزار چندین بار در مقیاس گسترده در ژوئن ۲۰۱۹ و ژوئن ۲۰۲۰ تجهیزات NAS شرکت کیونپ را هدف حملات قرارداد.
کیونپ در ماه می ۲۰۲۱ نیز تنها دو هفته پس از اطلاعرسانی به مشتریان خود در مورد انتشار باجافزار AgeLocker، به آنها در مورد حملات باجافزار eCh۰raix، هشدار داد.
از ۲۹ آذر ۱۴۰۰، کاربران و راهبران امنیتی مرتباً شروع به گزارش و افشای حملات باجافزار eCh۰raix در تالارهای گفتگوی مختلفی کردهاند، این افزایش در تعداد حملات باجافزار eCh۰raix، را سایت ID Ransomware Service نیز تأیید کرده است؛ این سایت به کاربران امکان میدهد نسخه باجافزاری را که فایلهای آنها را رمزگذاری کرده است، شناسایی کنند. نمونههای ارسالی به این سایت از ۲۸ آذر شروع به افزایش چشمگیری کرده و در ۵ دیماه این میزان کاهش یافته است.
در حملات پیشین، مهاجمان باجافزار eCh۰raix علاوه بر اکسپلویتها (Exploit) از حملات موسوم به سعی و خطا Brute-force استفاده کردهاند. آنها اکسپلویت ها را برای سوءاستفاده از آسیبپذیریهای موجود در دستگاههای قدیمی QNAP وصله نشده به کار میگیرند و از حملات Brute-force نیز برای حدس زدن رمزهای عبور ضعیف و رایج Admin استفاده میکنند.
افزایش فعالیت اخیر باجافزار eCh۰raix را میتوان به انتشار گزارشی مرتبط دانست که چندی پیش در خصوص جزئیات سه آسیبپذیری حیاتی موجود در دستگاههای QNAP منتشر شده بود. این سه آسیبپذیری در تجهیزات QNAP، هم بهراحتی قابل بهرهبرداری بهصورت خودکار هستند و هم کنترل کامل دستگاه موردنظر را برای مهاجمان فراهم میکنند.
بااینحال، نحوه نفوذ اولیه در حملات اخیر، در حال حاضر نامشخص است. بااینوجود برخی از قربانیان این حملات اذعان کردهاند که نسبت به اعمال تنظیمات امنیتی مناسب بیتوجه بودهاند و دستگاههای آسیبپذیر را بهدرستی ایمن نکردهاند (مثلاً از طریق یک اتصال ناامن، آنها را در معرض اینترنت قرار دادهاند). برخی نیز گزارش کردهاند که مهاجمان از طریق یک آسیبپذیری در QNAP Photo Station نفوذ کردهاند.
صرفنظر از مسیر حمله، به نظر میرسد که مهاجمان باجافزار eCh۰raix با ایجاد یک کاربر در گروه Administrator، تمام فایلهای موجود بر روی دستگاه را رمزگذاری میکنند. قربانیان حملات اخیر عنوان کردهاند که تصاویر و اسناد آنها بر روی این دستگاهها رمزگذاری شده و جدا از افزایش تعداد حملات، چیزی که در این کارزار به چشم میخورد این است که مهاجمان پسوند فایل اطلاعیه باجگیری (Ransom Note) را اشتباه تعیین و از پسوند “.TXTT” استفاده کردهاند.
بااینحال، این مانع از مشاهده این اطلاعیه نمیشود ولی ممکن است برای برخی از کاربران مشکل ایجاد کند چون باید هنگام باز کردن فایل، آن را با یک برنامه خاص (مثلاً Notepad) باز کنند یا آن را در این برنامه بارگذاری کنند.
مشاهده شده است که باجافزار ech۰raix از ۰۲۴/۰ بیتکوین (۱۲۰۰ دلار) تا ۰۶/۰ بیتکوین (۳ هزار دلار) از قربانیان باج درخواست کرده است. برخی از کاربران متأسفانه هیچ نسخه پشتیبانی نداشتند و مجبور بودند برای بازیابی فایلهای خود باج مطالبه شده را بپردازند.
توجه به این نکته ضروری است که یک رمزگشای رایگان برای فایلهای قفلشده با نسخه قدیمی (قبل از ۱۷ ژوئیه ۲۰۱۹) باجافزار eCh۰raix وجود دارد. در حال حاضر نسخههای فعلی باجافزار eCh۰raix (نسخههای ۱,۰.۵ و ۱.۰.۶) غیر قابل رمزگشایی هستند.
شرکت کیونپ همواره به کاربران خود، نسبت به مورد هدف قرار دادن دستگاهها با رمزهای عبور ضعیف توسط باجافزار eCh۰raix، هشدار داده است؛ لذا ضروری است که راهبران این دستگاهها، ضمن بهروزرسانی میانافزار (Firmware)، نرمافزار، برنامههای کاربردی (App) یا هر افزونهای (add-on) که بر روی دستگاههای NAS نصب است، رمز عبور دستگاه خود را کاملاً پیچیده تعیین کنند و با انجام اقداماتی که در نشانیهای زیر توسط شرکت کیونپ توصیه شده، دستگاههای NAS خود را ایمن کنند.
https://www.qnap.com/en/security-advisory/nas-۲۰۱۹۰۷-۱۱
https://www.qnap.com/en/security-advisory/QSA-۲۰-۰۲
به راهبران امنیتی توصیه میشود علاوه بر دستورالعملهای فوق با مراجعه به نشانی زیر و بهکارگیری راهنمای موجود در این توصیهنامه، از تجهیزات NAS و دادههای ذخیره شده بر روی آنها در برابر حملات اطمینان حاصل کنند.
https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-security
منبع : مرکز مدیریت راهبردی افتا
