Uma nova família de ransomware foi encontrada alvejando dispositivos NAS (Network Attached Storage) feitos pela QNAP Systems, de Taiwan, e mantendo os dados dos usuários como reféns até que um resgate seja pago, disseram pesquisadores ao The Hacker News.
Ideal para residências e pequenas empresas, os dispositivos NAS são unidades dedicadas de armazenamento de arquivos conectadas a uma rede ou pela Internet, que permitem que os usuários armazenem e compartilhem seus dados e backups com vários computadores.
Descoberto pela equipe de pesquisa da Anomali, o novo ransomware, apelidado de eCh0raix , destina-se a dispositivos QNAP NAS mal protegidos ou inseguros, seja por força bruta forçando credenciais fracas ou explorando vulnerabilidades conhecidas.
Escrito na linguagem de programação Go, o ransomware eCh0raixcriptografa todos os arquivos com extensões direcionadas usando criptografia AES e anexa a extensão .encrypt a todos os arquivos criptografados. No entanto, se um dispositivo NAS comprometido estiver localizado na Bielorrússia, na Ucrânia ou na Rússia, o ransomware encerrará o processo de criptografia de arquivo e sairá sem causar nenhum dano aos arquivos. Após a execução, o ransomware de criptografia de arquivos primeiro se conecta ao seu servidor de comando e controle remoto, protegido atrás da rede Tor, usando um proxy SOCKS5 Tor e notificando os invasores sobre as novas vítimas. "Com base na análise, fica claro que o proxy foi configurado pelo autor do malware para fornecer acesso de rede ao Tor ao malware, sem incluir a funcionalidade Tor no malware", dizem os pesquisadores.
Ideal para residências e pequenas empresas, os dispositivos NAS são unidades dedicadas de armazenamento de arquivos conectadas a uma rede ou pela Internet, que permitem que os usuários armazenem e compartilhem seus dados e backups com vários computadores.
Descoberto pela equipe de pesquisa da Anomali, o novo ransomware, apelidado de eCh0raix , destina-se a dispositivos QNAP NAS mal protegidos ou inseguros, seja por força bruta forçando credenciais fracas ou explorando vulnerabilidades conhecidas.
Escrito na linguagem de programação Go, o ransomware eCh0raixcriptografa todos os arquivos com extensões direcionadas usando criptografia AES e anexa a extensão .encrypt a todos os arquivos criptografados. No entanto, se um dispositivo NAS comprometido estiver localizado na Bielorrússia, na Ucrânia ou na Rússia, o ransomware encerrará o processo de criptografia de arquivo e sairá sem causar nenhum dano aos arquivos. Após a execução, o ransomware de criptografia de arquivos primeiro se conecta ao seu servidor de comando e controle remoto, protegido atrás da rede Tor, usando um proxy SOCKS5 Tor e notificando os invasores sobre as novas vítimas. "Com base na análise, fica claro que o proxy foi configurado pelo autor do malware para fornecer acesso de rede ao Tor ao malware, sem incluir a funcionalidade Tor no malware", dizem os pesquisadores.
Em um dispositivo infectado, o ransomware gera uma string aleatória de 32 caracteres (de uma matriz de caracteres alfanuméricos e especiais) para criar uma chave secreta AES-256 e usá-la para criptografar todos os arquivos armazenados no dispositivo NAS de destino com o algoritmo AES Cipher Feedback Mode (CFB) e, em seguida, remove os arquivos originais.
Curiosamente, como o módulo de criptografia usa o pacote de matemática para gerar a chave secreta, é provável que os pesquisadores escrevam um decodificador para a nova família de ransomware porque a função não é totalmente aleatória.
"Malware inicializa a página aleatória de matemática com a semente da hora atual. Como está usando o pacote de matemática para gerar a chave secreta, ela não é criptograficamente aleatória, e é provável que seja possível escrever um decodificador", dizem os pesquisadores.
Curiosamente, como o módulo de criptografia usa o pacote de matemática para gerar a chave secreta, é provável que os pesquisadores escrevam um decodificador para a nova família de ransomware porque a função não é totalmente aleatória.
"Malware inicializa a página aleatória de matemática com a semente da hora atual. Como está usando o pacote de matemática para gerar a chave secreta, ela não é criptograficamente aleatória, e é provável que seja possível escrever um decodificador", dizem os pesquisadores.
"O agente de ameaça atende aos dispositivos NAS da QNAP que são usados para armazenamento de arquivos e backups. Não é comum esses dispositivos executarem produtos antivírus e, atualmente, as amostras são detectadas apenas por 2-3 produtos no VirusTotal, o que permite que o ransomware correr desinibido ".
Os pesquisadores também notaram que antes de criptografar arquivos armazenados em dispositivos NAS de destino, o ransomware também tenta eliminar uma lista específica de processos, incluindo apache2, httpd, nginx, MySQL, mysql e PostgreSQL.
Lembramos que pedimos aos usuários que não conectem, inadvertida ou desnecessariamente, seus dispositivos NAS diretamente à Internet e também ativem atualizações automáticas para manter o firmware atualizado.
Além disso, recomenda-se sempre aos usuários usar senhas fortes para proteger seus dispositivos NAS e fazer um backup regular das informações armazenadas nesses dispositivos, para que, em caso de desastre, os dados importantes possam ser recuperados sem pagar resgate aos invasores.
