Een nieuwe ransomware genaamd eQ0raix richt zich specifiek op network attached storage (NAS)-apparaten van de Taiwanese fabrikant QNAP. De ransomware maakt op brute wijze misbruik van bekende bugs.
De ransomware werd afgelopen juni ontdekt door cybersecurity-onderzoekers van Anomali. De afgelopen jaren zijn er verschillende kwetsbaarheden op de wereldwijd gebruikte QNAP NAS-apparaten ontdekt. Na bekendmaking heeft het bedrijf deze bugs hersteld. Alleen hebben veel organisaties die de apparaten gebruiken, moeite patches tijdig toe te passen, aldus ZDnet.
NAS-apparaten zijn aantrekkelijke doelen voor cybercriminelen, gezien de apparaten worden veelal worden gebruikt voor het opslaan van kritieke gegevens en back-ups. Toch zijn veel NAS-apparaten niet uitgerust met beveiligingssoftware.
Brute-force-aanvallen
De aanvallen van eQ0raix mogen vrij opportunistisch genoemd worden. Zo verloopt de eerste infectie via onbeveiligde, op het internet gerichte poorten en maakt de ransomware gebruik van brute-force-aanvallen om zwakke aanmeldingsreferenties te omzeilen.
“Openbaar toegankelijke publieke systemen en -apparaten breiden de algehele aanvalsoppervlakken uit en vergroten de kans dat kwetsbaarheden worden blootgelegd en benut. Ransomware-aanvallen gaan op zo’n manier door, dat actoren van bedreigingen hun inspanningen kunnen doen gelden en operaties voor andere doelen kunnen verstoren”, zegt Joakim Kennedy, manager van threat intelligence in het Anomali-onderzoeksteam.
Bitcoin
Eenmaal slachtoffer van eQ0raix krijgen gebruikers een losgeldbrief te zien, waarin staat dat al hun gegevens zijn vergrendeld. Spelfouten in de Engelstalige brief suggereren dat Engels niet de moedertaal is van degenen die achter de ransomware zitten. Slachtoffers worden vervolgens naar een Tor-website geleid om het losgeld in bitcoin te betalen. Bovendien worden gebruikers gewaarschuwd om niet met de versleutelde gegevens te knoeien.
Broncode in Go-programmeertaal
De broncode van eCh0raix betreft minder dan 400 regels, is geschreven in de Go-programmeertaal en beschreven als zeer eenvoudig. De ransomware controleert of de bestanden al zijn gecodeerd. Dit gebeurt voordat een command-and-control-server wordt bereikt om het coderingsproces te starten en een AES-256-coderingssleutel te creëren, die bestanden vergrendeld met een .encrypt-extensie.
Gebruikers van NAS-apparaten wordt geadviseerd om externe toegang ertoe te beperken, zodat ze niet vanaf internet kunnen worden gevonden. Bovendien is het ook aan te raden beveiligingspatches toe te passen en krachtige credentials te gebruiken om systemen te beschermen tegen brute-force-aanvallen.
Lees ook: Stop geen desktopschijf in je server: waarom er verschillende types HDD bestaan