Eine neue eCh0raix-Ransomware-Variante unterstützt jetzt auch die Verschlüsselung von QNAP- und Synology Network-Attached Storage (NAS)-Geräten.
Diese Ransomware-Variante (auch QNAPCrypt genannt) tauchte erstmals im Juni 2016 auf, als die erste Meldung von Opfern über Angriffe im Forum von BleepingComputer auftauchte.
Die Ransomware infizierte QNAP NAS-Geräte in mehreren Wellen. Zwei groß angelegte Ransomware-Angriffe wurden im Juni 2019 und im Juni 2020 gemeldet.
eCh0raix verschlüsselt Synology-Geräte, die Entwickler von Anomali fanden heraus, dass die Angreifer mit Hilfe von Wörterbuchangriffen oder Standard-Anmeldedaten den Zugang zum System erzwangen.
Zu dieser Zeit warnte der NAS-Hersteller seine Kunden, ihre Daten vor einer laufenden und groß angelegten Ransomware-Kampagne zu schützen. Die Hacker-Gruppe, die für die Angriffe verantwortlich war, wurde nicht identifiziert.
Sowohl Synology- als auch QNAP-Kunden sind betroffen
Während die Ransomware in der Vergangenheit sowohl QNAP- als auch Synology-Geräte in separaten Angriffen ins Visier genommen hat, erklärten die Sicherheitsforscher von Unit 42 von Palo Alto Networks in einem gestern veröffentlichten Bericht, dass eCh0raix ab September 2020 mit der Integration von Funktionen zur Verschlüsselung beider NAS-Produktgruppen begann.
Unit 42 erklärte, dass „vor diesem Zeitpunkt die Angreifer wahrscheinlich über unterschiedliche Codebasen für die Angriffe auf Geräte beider Hersteller verfügten.“
Sie zeigten auch, dass die Ransomware-Betreiber CVE-20221-28799 ausnutzen (eine Schwachstelle, die es Angreifern ermöglicht, auf fest kodierte Anmeldedaten zuzugreifen, auch bekannt als Backdoor-Konto), um QNAP-Geräte zu verschlüsseln – dieselbe Schwachstelle wurde in einer Qlocker-Angriffswelle im April verwendet.
Die Angreifer versuchten, gängige administrative Anmeldedaten zu erraten, um sich mit Brute Force Zugang zu Synology NAS-Geräten zu verschaffen und dort Nutzerdaten zu übermitteln. Dies ist dieselbe Taktik, die in den 2019 durchgeführten Synology-Angriffenverwendet wurde.
Obwohl keine direkte Verbindung zur eCh0raix-Ransomware hergestellt wurde, hat Synology letzte Woche einen Sicherheitshinweis herausgegeben, in dem Kunden gewarnt werden, dass das StealthWorker-Botnet aktiv auf ihre Daten in laufenden Brute-Force-Angriffen abzielt, die zu Ransomware-Infektionen führen könnten.
Auch QNAP informierte seine Kunden im Mai über den eCh0raix-Ransomware-Angriff, nur zwei Wochen nach der Warnung vor der aktuellen AgeLocker-Ransomware Angriffswelle.
QNAP-Geräte waren ebenfalls von der Qlocker-Ransomware betroffen. Die Hacker erbeuteten innerhalb von fünf Tagen 260.000 US-Dollar, indem sie das Open-Source-Archivierungsprogramm 7zip verwendeten, um die Dateien der Opfer zu verschlüsseln.
Angriffe auf mindestens 250.000 NAS-Geräte
Daten, die über die Cortex Xpanse-Plattform von Palo Alto Networks gesammelt wurden, zeigen, dass mindestens 250.000 Synology NAS- und QNAP-Geräte mit dem Internet verbunden und so den Angriffen ausgesetzt sind.
Die Experten von Unit 42 raten den Besitzern von Synology- und QNAP-NAS-Geräten, die folgenden Ratschläge zu befolgen, um Ransomware-Angriffe auf ihre Daten zu verhindern.
- Um diese Angriffe abzuwehren, aktualisieren Sie die Firmware Ihres Geräts. Informationen zur Aktualisierung von QNAP-Geräten für CVE-20221-28799 finden Sie auf der QNAP-Website.
- Um Angreifern das Brute-Forcing zu erschweren, erstellen Sie komplexe Anmeldepasswörter.
- Um zu verhindern, dass Ransomware auf SOHO-verbundene Geräte übertragen wird, beschränken Sie Verbindungen von SOHO-verbundenen Geräten nur auf eine fest kodierte Liste zugelassener IPs.
Unit 42 erklärte: „Wir veröffentlichen unsere Erkenntnisse zu dieser neuen Variante von ECh0raix, um das Bewusstsein für die anhaltenden Bedrohungen im SOHO-Bereich und in kleinen Unternehmen zu wecken.“
Ransomware-Betreiber fühlen sich von SOHO-Anwendern besonders angezogen, da diese als Sprungbrett für Angriffe auf große Unternehmen genutzt werden können, um größere Lösegelder zu erzielen.