Ne danno notizia i siti e i portali di informazione specializzati e possiamo purtroppo confermare la cattiva notizia, visto il numero di professionisti, aziende e home user che ci stanno contattando per supporto: il ransomware eChoraix, conosciuto anche come QNAPcrypt, è di nuovo in diffusione. Siamo alla ennesima campagna di diffusione, nonostante ormai da 2 anni QNAP abbia pubblicato appositi avvisi di mitigazione e upgrade.
Per approfondire > NAS QNAP sotto attacco: campagna di diffusione del ransomware QNAPCyrpt
La nuova ondata di attacchi ha approfittato delle festività
I primi dati disponibili provengono dal servizio di analisi ransomware IDransomware: i suoi gestori spiegano come vengano riportati regolarmente attacchi di eChoraix contro NAS QNAP e Synology, ma dal 20 Dicembre in poi si è registrato un vero e proprio boom di invii al servizio. Si può dire che il boom di attacchi sia iniziato il 19 Dicembre e terminato il 26 Dicembre.
Fonte: IDransomware |
Insomma, copione già visto, gli attaccanti hanno atteso il periodo delle festività per scatenare gli attacchi, sapendo di avere maggiori possibilità di colpire professionisti o aziende chiuse o comunque sotto organico.
Quale vettore di infezione?
Ad ora il vettore di infezione utilizzato per questa campagna è sconosciuto: va detto che potrebbe non essere un vettore nuovo o una nuova vulnerabilità. La maggior parte degli utenti sui forum specializzati e coloro che hanno richiesto il supporto dei tecnici del nostro servizio https://www.decryptolocker.it hanno ammesso di non aver adeguatamente protetto il proprio NAS e non aver seguito le indicazioni di mitigazione pubblicate da QNAP: migliaia sono ancora i NAS esposti in Internet tramite connessione non sicura.
Alcuni utenti però individuano in Photo Station di QNAP la porta di ingresso: secondo alcuni sarebbe cioè una vulnerabilità di Photo Station a consentire agli attaccanti l'accesso al NAS.
Non sarebbe una novità: già in precedenza eChoraix sfruttava vulnerabilità note dei NAS QNAP come:
- CVE-2021-28799, che risiede in Hybrid Backup Sync HBS3. Al link le indicazioni di risoluzione;
- CVE-2020-36198 che risiede nella funzionalità Malware Remover. Al link le indicazioni di risoluzione;
Lo schema di attacco
Al di là di quale sia il vettore effettivo di attacco, resta confermata la prassi di attacco. L'attaccante crea un nuovo utente nel gruppo di amministrazione ed è tramite questo utente che ottiene le permissioni necessarie a criptare tutti i file presenti sul NAS: le testimonianze infatti confermano che non sono finiti criptati soltanto i documenti, ma anche le immagini, i video, i file audio ecc...
La nota di riscatto... con errore
A fine di individuazione pubblichiamo la nota di riscatto diffusa, nel corso di questa campagna, al termine della routine di criptazione. Contiene solo due link: il primo è l'indirizzo del sito web Tor degli attaccanti, l'altro il riferimento sul web emerso per il download del browser Tor.
Colpisce un errore di battitura: la nota di riscatto si chiama "README-FOR_DECYPT.txtt".
La nota di riscatto. Clicca sull'immagine per ingrandirla |
eChoraix: le versioni risolvibili
Sottolineiamo che questa versione di eChoraix (la 1.0.6) NON E' RISOLVIBILE attualmente. E' invece risolvibile la versione circolante fino al 17 Luglio 2019, mentre ancora non è risolvibile la versione 1.0.5.
Per approfondire > risolvere la versione di eChoraix 17 Luglio 2019
UPDATE UDPATE UPDATE
Lo consiglieremmo in generale, ma lo consigliamo con ancora più convinzione alla luce del fatto che le ultime due varianti eChoraix circolanti in Italia negli ultimi 2 anni non sono risolvibili: aggiornate il vostro NAS!
QNAP ha pubblicato già tutte le indicazioni necessarie per mettere in sicurezza in dispositivo, tra aggiornamenti e mitigazioni applicabili. Qui c'è la guida di QNAP per gli utenti.
Se ti serve supporto...
coloro che hanno bisogno di supporto per applicare gli aggiornamenti e implementare le misure di mitigazione o, vittime di criptazione, hanno necessità di verificare la fattibilità della decriptazione della versione che li ha colpiti possono contattarci tramite il sito web decryptolocker.it o scrivendoci all'indirizzo alessandro@nwkcloud.com
Nessun commento:
Posta un commento