حمله یک باج افزار جدید به درایو های NAS

خانواده جدیدی از باج افزارها شناسایی شده که درایو های Network Attached Storage یا به اختصار NAS مبتنی بر لینوکس را که تولید شرکت تایوانی  QNAP systems هستند را هدف قرار داده که اطلاعات مهم کاربران را بلوکه میکند و  برای آزاد کردن آنها باج خواهی میکند.

مخزن های حافظه NAS  برای استفاده خانگی وکسب وکارهای کوچک بسیار محبوب هستند که به یک شبکه ویا اینترنت  متصل می شوند واین امکان را به کاربران میدهند تا اطلاعات خود راذخیره کنند ویا داده های خود را با چندین کامپیوتر به اشتراک بگدارند.

دو موسسه تحقیقات امنیت سایبری Intezer و Anomali بطور جداگانه این تهدید را شناسایی کرده اند.این نسل جدید از باج افزار ها سرور های QNAP NAS  که محافظت ضعیفی دارند را یا با حمله brute force به گواهینامه های ضعیف SSH و یا exploit کردن آسیب پذیری های شناخته شده مورد هجوم قرار می دهند.

این باج افزار که Intezer آنرا QNAPCrypt و Anomali  آنرا  eCh0raix مینامد تحت زبان برنامه نویسی Go نوشته شده  .فایل ها با پسوند های انتخاب شده را با روش AES  رمزگذاری  میکند و به آنها پسوند encrypt. را اضافه میکند.

جالب است که اگر هارد NAS در کشور بلاروس،اکراین و روسیه قرار داشته باشد باج افزار عملیات رمزگذاری را قطع میکند و بدون ایجاد آسیبی به فایل ها خارج میشود.

در ادامه توضیح داده میشود که چطور متخصصین امنیت  از یک ضعف منطقی درساختار این باج افزار استفاده کرده اند تا بطور موقت از آسیب رساندن به کاربران جلوگیری کنند.

به محض اجرا ، باج افزار اول به سرور C&C خود که از طریق شبکه Tor محافظت شده وصل میشود با استفاده از پروکسی TOR SOCKS5 به هکر ها هدف های جدید را معرفی میکند.

بر مبنای تحلیل های انجام شده واضح است که پروکسی به وسیله برنامه نویس باج افزار برپا شده تا به باج افزار دسترسی شبکه Tor را بدهد  بدون کارایی  داشتن  Tor در باج افزار.

قبل از رمزگذاری فایل ها،باج افزار از سرور C&C درخواست آدرس یک کیف پول بیت کوین را میکند  یعنی جایی که قربانیان باید مبلغ باج خواهی شده را به بیت کویت پرداخت کنند.از قبل لیستی از آدرس های مورد  نظر در سرور وجود  دارد.  واگر سرور آدرسی برای انتقال بیت کوین نداشته باشد عملیات رمز گذاری را معلق میکند تا هکر ها آدرس جدیدی را ارائه دهند.

متخصصین در Intezer از این مکانیزم استفاده کردند و با استفاده از یک اسکریپت توانستند سرور C&C مهاجمین را فریب دهند تا تمام آدرس های بیت کوین موجود در لیست خود را به صدها قربانی غیر واقعی اختصاص دهد و عملیات رمزگذاری فایل ها برای قربانیان واقعی بطور موقت متوقف شود.از آنجاییکه برنامه نویس باج افزار به هر قربانی یک کیف پول بیت کوین از مجموعه کیف پول های را که از قبل تهیه کرده اختصاص میدهد با تکرارpacket های آلوده کردن میتوان تمام آدرس های موجود را تا زمانیکه آدرسی موجود نباشد ،استفاده کرد. تیم Intezer توانستند مجموعا ۱۰۹۱ کیف پول که برای ارائه به قربانیان بود جمع آوری کنند.

اگر باج افزار کیف پول مورد نظر خود را دریافت کند با ایجاد یک string تصادفی ۳۲ کاراکتری یک کلید محرمانه AES-256  می سازد و بااستفاده از آن تمام فایل های موجود در درایو NAS  را با الگوریتم AES در حالت Cipher Feedback Mode  رمزگذاری میکند و نسخه های اصل فایل ها را پاک میکند.

به گفته تیم Anomali ماژول رمزنگاری از بسته ریاصی برای تولید کلید محرمانه استفاده میکند واین احتمال هست که بتوان یک رمزشکن  برای این باج افزار نوشت چون تابع موجود کاملا تصادفی نیست.

از آنجاییکه استفاده از آنتی ویروس روی درایو های QNAP NAS خیلی معمول نیست این باج افزار شانس خوبی برای جولان دادن روی این دستگاه ها  دارد.

در تحلیل های انجام شده همچنین مشخص شده که قبل از عملیات رمز گذاری روی فایل ها  ،باج افزار سعی میکند یک لیست از پردازش ها را از بین ببرد.این لیست به خصوص شامل apache2 , httpd  ,nginx,  MySQL  و PostgreSQL است.

به کاربران توصیه می شود در صورت امکان درایو NAS خود را مستقیما به اینترنت متصل نکنند و حتما firmware  درایو را بروز نگه دارند.

هم چنین استفاده از پسورد های بسیار قوی و backup گیری منظم در جهت کاهش خطرات این تهدید به کاربران توصیه میشود.