QNAP ağa bağlı depolama (NAS) cihazlarının kullanıcıları, QNAPCrypt olarak da bilinen eCh0raix fidye yazılımı ile sistemlerine yapılan saldırıları rapor ediyor.
Bu kötü amaçlı yazılımın arkasındaki tehdit aktörü, faaliyetlerini Noel’den yaklaşık bir hafta önce yoğunlaştırdı ve yönetici ayrıcalıklarına sahip cihazların kontrolünü ele geçirdi.
Noel öncesi saldırı sayısı arttı
QNAP ve Synology NAS sistemlerini yöneten BleepingComputer forumu kullanıcıları düzenli olarak eCh0raix fidye yazılımı saldırılarını rapor ediyor, ancak çoğu olayları ifşa etmek 20 Aralık civarında.
Saldırı sayısındaki sıçrama, Kimlik fidye yazılımı hizmeti19 Aralık’ta başvurular artmaya başladı ve 26 Aralık’a doğru azaldı.
İlk enfeksiyon vektörü şu anda belirsizliğini koruyor. Bazı kullanıcılar dikkatsiz olduklarını ve cihazı düzgün bir şekilde korumadıklarını kabul ederler (örn. internete ifşa et güvenli olmayan bir bağlantı üzerinden); diğerleri, QNAP’ın Photo Station’ındaki bir güvenlik açığının saldırganların ortalığı kasıp kavurmasına izin verdiğini iddia ediyor.
Evet, bu tür bir hack’e açık bıraktığım için tam bir aptal olduğumu biliyorum ama bunların hiçbirini ciddiye almadım. Her zaman kimsenin küçük adamı istemediğini düşündüm ve yanıldığımı söyleyen ilk kişi ben olacağım!
Saldırı yolundan bağımsız olarak, eCh0raix fidye yazılımı aktörünün, yönetici grubunda NAS sistemindeki tüm dosyaları şifrelemelerine izin veren bir kullanıcı oluşturduğu görülüyor.
Bazıları NAS cihazını iş amacıyla kullanan QNAP kullanıcıları, BleepingComputer forumunda kötü amaçlı yazılımın resim ve belgeleri şifrelediğini bildirdi.
Saldırı sayısındaki artışın yanı sıra, bu kampanyada öne çıkan şey, oyuncunun fidye notunun uzantısını yanlış yazması ve “.TXTT” uzantısını kullanmasıdır.
Bu, talimatların görüntülenmesini engellemese de, dosyayı belirli bir programla (örn. Not Defteri) açması veya söz konusu programa yüklemesi için işletim sistemini yönlendirmesi gereken bazı kullanıcılar için sorun yaratabilir.
BleepingComputer, bu son saldırılar sırasında 0,024 (1,200 $) ile 0,06 bitcoin (3.000 $) arasında değişen ech0raix fidye yazılımı taleplerini gördü. Bazı kullanıcıların yedekleme seçenekleri yoktu ve dosyalarını kurtarmak için tehdit aktörüne ödeme yapmak zorunda kaldılar.
eCh0raix fidye yazılımının daha eski bir sürümüyle (17 Temmuz 2019’dan önce) kilitlenen dosyalar için ücretsiz bir şifre çözücü olduğunu unutmamak önemlidir. Ancak, kötü amaçlı yazılımın en son varyantları (sürüm 1.0.5 ve 1.0.6) tarafından kilitlenen verilerin şifresini çözmek için ücretsiz bir çözüm yoktur.
eCh0raix/QNAPCrypt ile saldırılar Haziran 2019’da başladı ve o zamandan beri sürekli bir tehdit olmuştur. QNAP bu yılın başlarında kullanıcılarını başka bir eCh0raix saldırılarının telaşı bu yılın başlarında, zayıf parolalara sahip cihazları hedef aldı.
Kullanıcılar takip etmeli QNAP’ın önerileri NAS cihazlarının ve depoladıkları verilerin uygun şekilde korunmasını sağlamak için.