Novos alvos do Ransomware Dispositivos QNAP NAS Devices - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Novos alvos do Ransomware Dispositivos QNAP NAS Devices

Uma nova família de ransomware foi encontrada alvejando dispositivos NAS (Network Attached Storage) feitos pela QNAP Systems, de Taiwan, e mantendo os dados dos usuários como reféns até que um resgate seja pago, disseram pesquisadores ao The Hacker News.

Ideal para residências e pequenas empresas, os dispositivos NAS são unidades dedicadas de armazenamento de arquivos conectadas a uma rede ou pela Internet, que permitem que os usuários armazenem e compartilhem seus dados e backups com vários computadores.

Descoberto pela equipe de pesquisa da Anomali, o novo ransomware, apelidado de eCh0raix , destina-se a dispositivos QNAP NAS mal protegidos ou inseguros, seja por força bruta forçando credenciais fracas ou explorando vulnerabilidades conhecidas.

Escrito na linguagem de programação Go, o ransomware eCh0raixcriptografa todos os arquivos com extensões direcionadas usando criptografia AES e anexa a extensão .encrypt a todos os arquivos criptografados. No entanto, se um dispositivo NAS comprometido estiver localizado na Bielorrússia, na Ucrânia ou na Rússia, o ransomware encerrará o processo de criptografia de arquivo e sairá sem causar nenhum dano aos arquivos. Após a execução, o ransomware de criptografia de arquivos primeiro se conecta ao seu servidor de comando e controle remoto, protegido atrás da rede Tor, usando um proxy SOCKS5 Tor e notificando os invasores sobre as novas vítimas. "Com base na análise, fica claro que o proxy foi configurado pelo autor do malware para fornecer acesso de rede ao Tor ao malware, sem incluir a funcionalidade Tor no malware", dizem os pesquisadores.


Em um dispositivo infectado, o ransomware gera uma string aleatória de 32 caracteres (de uma matriz de caracteres alfanuméricos e especiais) para criar uma chave secreta AES-256 e usá-la para criptografar todos os arquivos armazenados no dispositivo NAS de destino com o algoritmo AES Cipher Feedback Mode (CFB) e, em seguida, remove os arquivos originais.

Curiosamente, como o módulo de criptografia usa o pacote de matemática para gerar a chave secreta, é provável que os pesquisadores escrevam um decodificador para a nova família de ransomware porque a função não é totalmente aleatória.

"Malware inicializa a página aleatória de matemática com a semente da hora atual. Como está usando o pacote de matemática para gerar a chave secreta, ela não é criptograficamente aleatória, e é provável que seja possível escrever um decodificador", dizem os pesquisadores.



"O agente de ameaça atende aos dispositivos NAS da QNAP que são usados ​​para armazenamento de arquivos e backups. Não é comum esses dispositivos executarem produtos antivírus e, atualmente, as amostras são detectadas apenas por 2-3 produtos no VirusTotal, o que permite que o ransomware correr desinibido ".

Os pesquisadores também notaram que antes de criptografar arquivos armazenados em dispositivos NAS de destino, o ransomware também tenta eliminar uma lista específica de processos, incluindo apache2, httpd, nginx, MySQL, mysql e PostgreSQL.

Lembramos que pedimos aos usuários que não conectem, inadvertida ou desnecessariamente, seus dispositivos NAS diretamente à Internet e também ativem atualizações automáticas para manter o firmware atualizado.

Além disso, recomenda-se sempre aos usuários usar senhas fortes para proteger seus dispositivos NAS e fazer um backup regular das informações armazenadas nesses dispositivos, para que, em caso de desastre, os dados importantes possam ser recuperados sem pagar resgate aos invasores.









Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search