eCh0raix ransomware: Στο στόχαστρο διακομιστές αποθήκευσης αρχείων Linux

Ερευνητές ασφάλειας έχουν εντοπίσει ένα νέο στέλεχος ransomware με την ονομασία eCh0raix, το οποίο στοχεύει Linux συσκευές με QNAP Network Attached Storages (NAS). Το ransomware έχει σχεδιαστεί ώστε να μολύνει και να κρυπτογραφεί τα αρχεία των θυμάτων, χρησιμοποιώντας κρυπτογράφηση τύπου AES.

Το κακόβουλο λογισμικό, είναι βασισμένο στη γλώσσα προγραμματισμού Go, και έχει μόνο 400 γραμμές κώδικα. Έχει πολύ χαμηλό ποσοστό ανίχνευσης και στοχεύει μόνο διακομιστές QNAP NAS που βασίζονται σε Linux.

H QNAP είναι μια ταϊβανέζικη εταιρεία, γνωστή για την πώληση διακομιστών NAS που αξιοποιούνται κυρίως για ανάγκες αποθήκευσης και αναπαραγωγής πολυμέσων. Γενικότερα, οι διακομιστές NAS χρησιμοποιούνται για την αποθήκευση μεγάλου όγκου δεδομένων και αρχείων.

Το ransomware που ονομάστηκε “QNAPCrypt” από την Intezer και “eCh0raix” από την Anomali, φέρει βασική λειτουργικότητα ransomware, αλλά περιέχει αρκετές διαφορές.

Μόλις εκτελεστεί το κακόβουλο λογισμικό, επικοινωνεί με τον διακομιστή εντολών και ελέγχου, ώστε να ξεκινήσει η διαδικασία κρυπτογράφησης. Πριν από την κρυπτογράφηση, ζητά συγκεκριμένες πληροφορίες από το διακομιστή C & C, όπως τη διεύθυνση του wallet στο οποίο θα κατατεθούν τα χρήματα από τα θύματα του ransomeware, και ένα public RSA key.

Η επικοινωνία με τον εξυπηρετητή C2 γίνεται μέσω δικτύου Τοr, με τη βοήθεια ενός διακομιστή μεσολάβησης SOCKS5. Τα δεδομένα που αποστέλλονται από το διακομιστή είναι κωδικοποιημένα με JSON. Το ransomware κρυπτογραφεί το αρχείο χρησιμοποιώντας ένα κλειδί AES-256 και προσθέτει την επέκταση .ccrypt στα κρυπτογραφημένα αρχεία.

Πριν ξεκινήσει η διαδικασία κρυπτογράφησης, τα ακόλουθα services τερματίζονται στους μολυσμένους διακομιστές NAS:

apache2
httpd
nginx
mysqld
MySQL
PHP-fpm
php5-fpm
PostgreSQL

Το eCh0raix κρυπτογραφεί τις ακόλουθες επεκτάσεις:

.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm .ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx .ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl .lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw .nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef .pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf.qfx

Τρόποι Προστασίας από το eCh0raix ransomware

Σε ποιες ενέργειες θα πρέπει να προβούν οι διαχειριστές των συσκευών NaS, για την αποτελεσματική προστασία των συστημάτων τους; Οι ερευνητές ασφάλειας συνιστούν στους admins να περιορίζουν την εξωτερική πρόσβαση στις συσκευές QNAP NAS, να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης και να διασφαλίζουν ότι οι συσκευές τους είναι up-to-date, διαθέτοντας πάντα τις τελευταίες ενημερώσεις ασφαλείας.