Beheerders van de eCh0raix randomware hebben een nieuwe golf aan aanvallen ingezet gericht op QNAP network-attached storage (NAS) apparaten. De eCh0raix groep begon zijn eerste reeks ransomware aanvallen in juni 2019. De eerste versie van de ransomware werd ontcijferd, maar de groep verdween niet. Nu gebruikt de groep een nieuwere versie die beveiligingsonderzoekers nog niet gekraakt hebben.
De activiteiten van eCh0raix namen af sinds afgelopen zomer. De voornaamste reden daarvoor was de opkomst van concurrerende ransomware gangs gericht op QNAP NAS-apparaten, zoals de Muhstik en QSnatch-groepen.
Sinds kort is de eCh0raix groep terug. De nieuwe golf van aanvallen werd veroorzaakt door een recente publicatie van een beveiligingsrapport dat drie kritieke kwetsbaarheden rondom QNAP aan het licht bracht.
Uit het aantal meldingen op het Bleeping Computer forum, kunnen we opmaken dat de eCh0raix groep sinds ruim twee weken weer zijn opmars maakt. Sinds afgelopen maandag heeft de groep de ransomware-aanvallen flink uitgebreid. Dat blijkt uit een publicatie van Bleeping Computer. Dezelfde piek kunnen we ook zien in de statistieken van ID-ransomware, een service waarmee gebruikers kunnen achterhalen welke ransomware hun bestanden heeft gecodeerd.
Twee soorten aanvallen
Oorspronkelijk gebruikte de eCh0raix groep zowel kwetsbaarheden in systemen als aanvallen met brute kracht. Ze gebruikten kwetsbaarheden in QNAP-apparaten die niet gepatcht zijn. Daarnaast gebruiken ze aanvallen met brute kracht om zwakke en veelvoorkomende wachtwoorden te achterhalen.
Hoewel het nog niet bevestigd is, is de kans groot dat de eCh0raix gang de recent onthulde QNAP-kwetsbaarheden in hun aanvallen gebruikt. De drie kwetsbaarheden zijn makkelijk om misbruik van te maken. Daarbij geven ze een aanvaller volledige controle over een aangetast apparaat.
Bescherming tegen aanvallen
Er zijn verschillende dingen die eigenaren van QNAP NAS-apparaten kunnen doen om zich te wapenen tegen potentiële aanvallen. Allereerst raden we aan om hun QNAP-firmware en -software te updaten. Daarnaast adviseren we eigenaren van QNAP-apparaten om de wachtwoorden van hun apparaten te veranderen naar iets wat uniek en moeilijk te raden is.
De huidige versie van de eCh0raix ransomware is nog niet te kraken. De enige manier om weer toegang te krijgen tot een aangetast systeem, is door het losgeld te betalen via een link naar een dark web portal die de groep achterlaat op gehackte NAS-systemen.