Vários relatórios de segurança indicam que um novo vírus perigoso chamado ransomware eCh0raix está sendo usado contra proprietários de dispositivos QNAP Nas. Parece que ele está sendo enviado em campanhas mundiais usando opções de configuração de hacking predefinidas e kits de ferramentas automatizadas.
eCh0raix Ransomware voltado para dispositivos QNAP NAS em todo o mundo
Uma campanha de ataque em andamento é definida em dispositivos QNAP NAS pertencentes a usuários finais e usuários corporativos. O malware que é usado atualmente contra eles é o Ransomware eCh0raix baseado em Linux. No momento não há informações sobre o grupo criminoso por trás da campanha. No entanto, durante a análise do código, parece que há um lista negra que interromperá a infecção se o dispositivo da vítima estiver localizado nesses países: Belarus, Ucrânia ou Rússia. Isso significa que é muito provável que a campanha seja direcionada e que os hackers possam ser originários de um desses países ou de outro de língua russa.
A versão atual do eCh0raix Ransomware é escrita no Go Language e infecta os dispositivos por meio de vulnerabilidades existentes. Isso permite que os hackers automatizem as infecções usando kits de ferramentas e estruturas de teste de penetração. Assim que a infecção for feita, o vírus estabelecerá uma conexão segura e persistente com um servidor controlado por hacker. Uma das características distintas da ameaça é que ela retransmitirá a conexão por meio do Rede Tor. No entanto, as infecções ativas desativaram essa funcionalidade no momento, escolhendo se comunicar diretamente com os hackers. O mecanismo de vírus foi programado para recuperar um arquivo de configuração que o direcionará ainda mais.
O que se seguirá é criptografia de arquivos com base em uma lista integrada de extensões de tipo de arquivo de destino. Isso é feito de uma forma muito semelhante às variantes de ransomware de desktop - uma lista de dados de destino é usada para direcionar uma cifra forte. O resultado será dados confidenciais inacessíveis, uma mensagem de ransomware será mostrada às vítimas, que as extorquirá para um pagamento aos hackers. No caso das infecções analisadas esta mensagem é criada em um arquivo denominado README_FOR_DECRYPT.txt. Antes de iniciar a criptografia do arquivo, ela desabilitará todos os servidores da web em execução para que o processo possa ser concluído sem problemas.
A lista integrada encontrada nas amostras capturadas inclui as seguintes extensões de tipo de arquivo:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm. ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx. ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl. lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw. nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef. pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf. qfx
Assim que o módulo de processamento de arquivo for concluído, os usuários ficarão com os arquivos criptografados.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: