In questi giorni i ricercatori di Anomali hanno scoperto un pericoloso ransomware che dapprima sferra un attacco brute force delle password usate a protezione del contenuto dei server NAS QNAP quindi, una volta guadagnato l’accesso al dispositivo, provvede a crittografare una lunga schiera di tipi di file (compresi documenti e foto).
Un NAS, acronimo di Network-attached Storage, è un dispositivo collegato alla rete la cui funzione è quella di consentire agli utenti di accedere e condividere una memoria di massa, in pratica costituita da uno o più dischi rigidi, all’interno della propria rete o all’esterno.
Il malware che ha attaccato questi dispositivi dell’azienda Qnap, è stato battezzato eCh0raix in forza della presenza della stessa stringa all’interno dei componenti del ransomware.
Sebbene sia prevista la connessione a un server command and control (C2) attraverso la rete Tor, il ransomware al momento non contiene alcun client e dialoga con i server cybercriminali usando un proxy SOCKS5 (Un server SOCKS è un particolare tipo di proxy che permette di effettuare connessioni TCP dirette).
I NAS QNAP non vengono distribuiti con una soluzione antimalware attiva: il ransomware può facilmente crittografare i file degli utenti e richiedere un riscatto in denaro al fine di ricevere la chiave di decodifica.
I ricercatori di Anomali spiegano che i criminali informatici hanno usato il pacchetto Mathper generare la chiave privata adoperata per cifrare i file degli utenti (il ransomware è stato scritto usando il linguaggio di programmazione Google Go): si tratta di una procedura che non permette di generare dati random e che quindi potrebbe essere possibile risalire alla chiave di decodifica (l’analisi è attualmente in corso). Maggiori informazioni sono pubblicate a questo indirizzo.
Appare evidente che esporre il NAS sull’IP pubblico senza piuttosto servirsi di una connessione VPN e usare password deboli per gli account amministrativi sono pratiche assolutamente sconsigliate.