Ransomware | Synology | QNAP

Ransomware eCh0raix šifruje síťová úložiště QNAP a Synology, v ohrožení je 250 tisíc NASů

  • Bezpečnostní experti varují před ransomwarem eCh0raix
  • Umí útočit na NASy značek QNAP i Synology
  • V ohrožení je čtvrt milionu zařízení

V úterý jsme informovali o botnetu StealthWorker, který hrubou silou útočí na síťová úložiště Synology. Takřka vzápětí přišlo varování před dalším ransomwarem, jehož cílem jsou NASy značek QNAP a Synology.

Jedná se o novou variantu ransomwaru eCh0raix, která dostala do vínku schopnost šifrovat data na datových úložištích. Tento kmen ransomwaru (známý také jako QNAPCrypt) se poprvé objevil v červnu roku 2016 a později byly zaznamenány dvě velké vlny útoků – jedna v červnu 2019 a další v červnu roku 2020.

Čtvrt milionu NASů v ohrožení

V roce 2019 začal eCh0raix šifrovat také zařízení značky Synology. Podle bezpečnostních expertů útočníci používali účet administrátora, přičemž se zkoušeli přihlašovat výchozími přihlašovacími údaji, nebo se do systému prolamovali pomocí slovníkového útoku. Výrobce tehdy varoval své zákazníky, aby si zabezpečili data před probíhající rozsáhlou kampaní ransomwaru. Neuvedl však název ransomwarové operace, která byla za útoky zodpovědná.

Zatímco v minulosti existoval ransomware v oddělených verzích pro QNAP a Synology, bezpečnostní experti z Unit 42 vydali ve čtvrtek varování před novou verzí, jež si už od září loňského roku poradí se zařízeními obou zmíněných značek. „Předtím měli útočníci pravděpodobně samostatné kódové základny pro kampaně zaměřené na zařízení od každého z výrobců,“ uvedli odborníci.

Podle Unit 42 je útoky z internetu ohroženo asi 250 tisíc NASů. Majitelům je důrazně doporučeno aktualizovat firmware zařízení na poslední dostupnou verzi a používat u všech uživatelských účtů dostatečně bezpečná hesla. Doporučují také omezit přístup zvenku jen na vybrané IP adresy a limitovat počet neúspěšných pokusů o přihlášení.

Experti dále odhalili, že provozovatelé ransomwaru s oblibou využívají bezpečnostní díru CVE-2021-28799. Jedná se o zranitelnost poskytující útočníkům přístup k pevně zakódovaným pověřením, tzv. backdoor účtu k šifrování zařízení QNAP. Stejná chyba byla zneužita při rozsáhlé dubnové kampani ransomwaru Qlocker.

Útoky na QNAP i Synology

Útočníci se do zařízení Synology dostávají hrubou silou a pokoušejí se do nich dostat ransomwarové soubory tak, že se snaží uhodnout běžně používané přihlašovací údaje. Přestože výrobce přímo nezmínil ransomware eCh0raix, vydal několik bezpečnostních doporučení, jimiž by se majitelé těchto zařízení měli řídit. Pokud chcete mít jistotu, že se vaše síťové úložiště nestane terčem úspěšného útoku, pak byste si rozhodně měli projít následující „kontrolní seznam“.

  • Používejte složitá a silná hesla a aplikujte pravidla pro sílu hesel na všechny uživatele (Ovládací panel-Uživatelé a skupiny-Rozšířené-Použít pravidla pro sílu hesla).
  • Vytvořte ve skupině správců nový účet a zakažte výchozí systémový účet admin (Ovládací panel-Uživatelé a skupiny-Uživatel-admin-Deaktivovat tento účet).
  • Povolte v ovládacím panelu automatické blokování, abyste zablokovali IP adresy s příliš mnoha neúspěšnými pokusy o přihlášení (Ovládací panel-Zabezpečení-Ochrana-Povolit automatický blok).
  • Spusťte nástroj Security Advisor, abyste se ujistili, že v systému není žádné slabé heslo (Hlavní nabídka-Security Advisor-Vyhledat).

QNAP upozornil zákazníky na útoky ransomwaru eCh0raix v květnu, jen dva týdny poté, co je varoval před probíhajícím útokem ransomwaru AgeLocker. Zařízení QNAP byla od poloviny dubna zasažena masivní kampaní ransomwaru Qlocker, přičemž útočníci vydělali během pouhých pěti dní 260 000 dolarů (cca 5,6 milionů korun). Zajímavostí je, že data obětí šifrovali pomocí open-source archivátoru souborů 7zip.

V případě zařízení značky QNAP doporučujeme majitelům zhlédnout záznam webináře, ve kterém se dozvědí, jak zabezpečit síťové úložiště tohoto výrobce před neautorizovaným vzdáleným přístupem.

Za tip na článek děkujeme čtenáři vystupujícímu v diskuzích pod přezdívkou kybliczek007.

Diskuze (21) Další článek: Audi Skysphere vypadá jak příští Batmobil. Je to autonomní GT, ale stačí stisknout knoflík a začnou se dít věci

Témata článku: Internet, Heslo, Úložiště, Ransomware, NAS, Synology, QNAP, Security Advisor, Ohrožení, StealthWorker, QLocker, Zařízení, Značka, T-Head, Unit, Access ID, Účet, Bezpečnostní expert



Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Konec českého poskytovatele internetu v přímém přenosu. Připomíná to krachující energetické firmy
Lukáš Václavík
CETINPoskytovatelé internetuPřipojení k internetu
Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

** Dnešní telefony se předhánějí v tom, který z nich bude větší ** Malé telefony na trhu skoro vyhynuly... ** Čínská značka si připravila telefon do dlaně s třípalcovým displejem

Martin Chroust
InfraportKompaktní velikostSmartphony
Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

** Smartphone s Androidem dnes využijete i pro autodiagnostiku ** Jednotku OBD-II dnes pořídíte za pár stovek ** Co se vše dokáže diagnostika s bezplatným SW v češtině?

Martin Chroust
DiagnostikaPro řidiče
Čínské značky hromadně odsouvají premiéry svých novinek. A to kvůli náhlému úmrtí bývalého prezidenta

Čínské značky hromadně odsouvají premiéry svých novinek. A to kvůli náhlému úmrtí bývalého prezidenta

** Čínské značky odsouvají premiéry svých novinek ** A to kvůli úmrtí bývalého prezidenta ** Druhotně to posouvá i jejich budoucí dostupnost v Evropě

Martin Chroust
ČínaSmartphony
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě