eCh0raix-Ransomware-Variante zielt auf QNAP- und Synology-NAS-Geräte

  • Einige bösartige Akteure verfeinern ihre Tools, um kleine Fische anzugreifen: Diese Variante wurde verfeinert, um nicht nur ein, sondern zwei Geräte von Herstellern anzugreifen, die in SOHO-Konfigurationen üblich sind.

    Die Betreiber des fast ein Jahr alten eCh0raix-Ransomware-Stamms, der in früheren, separaten Kampagnen gegen QNAP- und Synology-NAS-Geräte (Network-Attached Storage) eingesetzt wurde, sind jetzt noch effizienter geworden. Forschern zufolge haben beide eine neue Variante veröffentlicht, die in einer einzigen Kampagne auf die Geräte beider Hersteller abzielen kann.

    In einem am Dienstag veröffentlichten Bericht erklärten die Forscher von Palo Alto Network Unit 42, dass die neue Variante von eCh0raix einen kritischen Fehler (CVE-2021-28799) ausnutzt – eine Schwachstelle bei der Autorisierung, die Angreifern Zugriff auf fest kodierte Anmeldedaten gibt, um ein Backdoor-Konto einzurichten – in der Hybrid Backup Sync (HBS 3)-Software auf den NAS-Geräten von QNAP.

    HBS wird für die Sicherung, Wiederherstellung und Synchronisierung zwischen lokalen, entfernten und Cloud-Speicherplätzen verwendet. Am 21. April meldeten Nutzer von Geräten des taiwanesischen Herstellers Quality Network Appliance Provider (QNAP) Angriffe, bei denen genau diese Schwachstelle ausgenutzt wurde. Hunderte von Nutzern wurden erpresst, wie BleepingComputer damals berichtete.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

    Am 21. Juni entdeckte Unit 42 einen Angriff auf QNAP HBS3 mit einer Ausnutzung von CVE-2021-28799. Es ist nicht das erste Mal, dass dieser Fehler ausgenutzt wurde, um Qlocker auszuliefern, so die Forscher, aber es ist das erste Mal, dass er aufgebrochen wurde, um eCh0raix, auch bekannt als QNAPCrypt Ransomware, auszuliefern: eine ungewöhnliche Linux-Ransomware, die im Jahr 2019 für QNAP NAS-Server verwendet wurde.

    Die Forscher teilten ein Bild der Nutzlast – siehe unten -, die zum Zeitpunkt der Veröffentlichung des Berichts am Dienstag noch aktiv war. “Der Angriff versuchte, eine fest kodierte Sitzungs-ID ‘jisoosocoolhbsmgnt’ zu verwenden, um die Authentifizierung zu umgehen und einen Befehl auf dem Gerät auszuführen, mit dem Ziel, Malware vom Remote-Server zu holen 64[.]42[.]152[.]46 und auf dem Gerät des Opfers ausführen”, sagte Einheit 42.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/08/10120922/payload-e1628611775319.png]

    eCh0raix-Nutzlast. Quelle: Palo Alto Networks.

    Die eCh0raix-Betreiber haben sich verzweigt: Die Analyse der Nutzlast zeigt, dass sie nicht nur auf QNAP-Geräte abzielen, sondern auch auf NAS-Geräte von Synology, wodurch die Ransomware die Geräte beider Hersteller umgarnen kann, wie die Forscher von Unit 42 herausfanden.

    Zeitleiste

    Soweit Unit 42 feststellen kann, gab es bisher keine Analyse von Malware-Samples, die zeigen würde, dass die eCh0raix-Ransomware vor diesem Zeitpunkt auf Synology-Geräte abzielte. “Instanzen von Synology-Geräten, die mit eCh0raix infiziert sind, wurden bereits 2019 gemeldet, aber die einzige frühere Untersuchung, die die Synology-Angriffe mit eCh0raix-Akteuren in Verbindung bringt, basiert auf gefundenen Entschlüsselungsprogrammen”, heißt es weiter.

    Das erste Mal, dass die Forscher von Unit 42 diese Dual-Vendor-Variante sahen, war im September 2020. Möglicherweise wurde die kombinierte Variante zu diesem Zeitpunkt erstellt und die Angreifer verfügten über getrennte Codebasen, um die Geräte der beiden Hersteller in separaten Kampagnen anzugreifen, so ihre Vermutung: eine Hypothese, die durch den Projektnamen der neuen Variante bestätigt wird, der sich aus den Kompilierungspfaden in den GoLang-Binärdateien ergibt: “rct_cryptor_universal” (/home/dev/GoglandProjects/src/rct_cryptor_universal).

    “Frühere Samples von eCh0raix verwenden den Projektnamen qnap_crypt_worker”, so die Forscher. Zwischen Juni und September 2020 sahen sie andere eCh0raix-Beispiele, die den Projektnamen rct_cryptor_universal verwendeten, aber im September 2020 sahen sie zum ersten Mal ein vollwertiges Beispiel mit zwei separaten Codeflüssen.

    Fast eine Viertelmillion anfälliger NAS-Geräte

    Es sieht so aus, als ob eCh0raix ansteckend ist: Opfer haben ihre Geschichten in Foren gepostet und behauptet, erst am 16. Juni 2021 Lösegeld in Bitcoin im Wert von etwa 500 Dollar gezahlt zu haben.

    Kurze traurige Geschichte, suche Hilfe. Ich wurde auch angegriffen, habe ein bisschen verhandelt und das Lösegeld bezahlt (0,0192 BTC). Ich habe die Entschlüsselungsdateien erhalten. Es gibt keine wirkliche Pfote und ich weiß nicht, wie ich den unten stehenden Anweisungen folgen soll, die sie auf der Tor-Seite veröffentlicht haben. Ich habe das Entschlüsselungsprogramm hochgeladen, aber der Befehl gibt nichts zurück

    – Quelle: Beitrag von “kapuvacante” im BleepingComputer-Forum

    Die Forscher von Unit 42 schätzten, dass es etwa 240.000 mit dem Internet verbundene QNAP NAS-Geräte und nur etwa 3.500 Synology NAS-Geräte gibt, was bedeutet, dass die Aufnahme von Synology in die Trefferliste die Angriffsfläche der Ransomware nicht wesentlich vergrößert hat. Dennoch ist eine Viertelmillion potenzieller Ziele nicht zu verachten.

    Warum SOHO-Benutzer ausnehmen?

    Sie haben es auf kleine Fische abgesehen, weil NAS-Geräte für kleine Büros/Heimbüros (SOHO) “als Sprungbrett für Angriffe auf große Unternehmen genutzt werden können, bei denen hohe Lösegelder erzielt werden können”, so Unit 42.

    “Wir veröffentlichen unsere Erkenntnisse über diese neue Variante von eCh0raix, um das Bewusstsein für die anhaltende Bedrohung des SOHO- und Kleinunternehmenssektors zu schärfen”, erklärten die Forscher. “Die Berichterstattung über die Ransomware-Krise konzentriert sich in der Regel auf Bedrohungen für große Unternehmen und Behörden, die zunehmend aggressiven und störenden Ransomware-Angriffen ausgesetzt sind. Der SOHO- und Kleinunternehmenssektor kann jedoch eine große Angriffsfläche für Bedrohungsakteure bieten”.

    Ein weiterer Grund, der SOHO-Benutzer zu verlockenden Zielen macht, ist die Tatsache, dass sie nicht über die strengen Überwachungsmechanismen verfügen, die Unternehmen schützen, so Unit 42 weiter: “SOHO-Anwender beschäftigen in der Regel keine engagierten IT- oder Sicherheitsexperten, wodurch sie weniger gut auf die Abwehr von Ransomware-Angriffen vorbereitet sind als größere Unternehmen.”

    Alec Alvarado, Threat Intelligence Team Lead beim Anbieter von digitalem Risikoschutz Digital Shadows, erklärte am Dienstag gegenüber Threatpost, dass große Organisationen, die von Ransomware betroffen sind, die meisten Schlagzeilen machen, aber dass “Ransomware-Bedrohungen auf der Ebene von Einzelpersonen und kleinen Unternehmen immer noch weit verbreitet sind.”

    Cyberkriminelle suchen nach den niedrig hängenden Früchten, um ihr Netz so weit wie möglich zu spannen und ihre potenzielle Rendite zu erhöhen”, kommentierte er. “NAS-Geräte bieten reichlich Gelegenheit für Angriffe auf individueller Ebene und könnten für Erpressung oder das Eindringen in größere Netzwerke genutzt werden. Die Zunahme von Work-from-Home-Modellen hat einen BYOD-Albtraum für Verteidiger geschaffen, und NAS-Geräte gehören dazu. Bedrohungsakteure versuchen, ähnlich wie Wasser, den Weg des geringsten Widerstands zu finden, und NAS-Geräte könnten sich als eine gute Option erweisen, um einen Fuß in die Tür zu bekommen.

    Schützen Sie Ihr NAS

    Unit 42 hat diese bewährten Verfahren zum Schutz von Heimbüros vor Ransomware-Angriffen weitergegeben:

    • Aktualisieren Sie die Gerätefirmware, um Angriffe dieser Art abzuwehren. Einzelheiten zur Aktualisierung von QNAP NAS-Geräten gegen CVE-2021-28799 finden Sie auf der QNAP-Website.
    • Erstellen Sie komplexe Anmeldepasswörter, um Angreifern das Brute-Forcing zu erschweren.
    • Beschränken Sie die Verbindungen zu SOHO-Geräten auf eine fest kodierte Liste von erkannten IPs, um Netzwerkangriffe zu verhindern, die dazu verwendet werden, Ransomware auf Geräte zu übertragen.

    Über diese fest kodierten Anmeldeinformationen

    Das große “Wenn nur”: Wenn es nur nicht von vornherein fest codierte Anmeldeinformationen gäbe. Alvarado merkte an, dass die Ausnutzung einer fest codierten Zugangsberechtigung durch die neue Variante nur das jüngste Beispiel dafür ist, warum die Festcodierung von Geräte-Anmeldeinformationen weithin als unsichere Praxis angesehen wird, die schon mehrfach zu Kompromissen geführt hat.

    “Sobald diese Geräte verbreitet werden, ist es nur eine Frage der Zeit, bis Bedrohungsakteure die fest kodierten Anmeldedaten entdecken und die Informationen böswillig verwenden”, sagte er per E-Mail. “Dann ist es noch schwieriger, diese Geräte zu patchen, da die fest kodierten Anmeldeinformationen für den Betrieb des Geräts unerlässlich sind. Außerdem sind die Benutzer dieser Geräte wahrscheinlich nicht in der Lage, die Funktion zu deaktivieren oder das Kennwort zu ändern, geschweige denn, dass sie wissen, dass die fest kodierten Anmeldedaten verwendet werden.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com