Ransomware mới nhắm tới các thiết bị NAS (Network Attached Storage)

Ransomware mới nhắm tới các thiết bị NAS (Network Attached Storage)

July 11, 2019 | vietsunshine

Một họ ransomware mới được tìm thấy đang nhắm mục tiêu tới các thiết bị lưu trữ gắn vào mạng (Network Attached Storage – NAS) dựa trên Linux do QNAP Systems có trụ sở tại Đài Loan sản xuất.

Lý tưởng cho gia đình và doanh nghiệp nhỏ, các thiết bị NAS là các đơn vị lưu trữ tệp chuyên dụng được kết nối với mạng hoặc qua Internet, cho phép người dùng lưu trữ và chia sẻ dữ liệu và sao lưu của họ với nhiều máy tính.

Được phát hiện độc lập bởi các nhà nghiên cứu tại hai công ty bảo mật riêng biệt, Intezer và Anomali, họ ransomware mới nhắm vào các máy chủ NAS QNAP được bảo vệ kém hoặc dễ bị tổn thương bằng cách brute forcing  thông tin SSH yếu hoặc khai thác các lỗ hổng đã biết.

Được đặt tên là QNAPCrypt bởi Intezer và eCh0raix của Anomali, phần mềm ransomware mới được viết bằng ngôn ngữ lập trình Go và mã hóa các tệp có phần mở rộng được nhắm mục tiêu bằng mã hóa AES và nối thêm phần mở rộng .encrypt cho mỗi phần mở rộng.

Tuy nhiên, nếu một thiết bị NAS bị xâm nhập được đặt tại Belarus, Ukraine hoặc Nga, ransomware sẽ chấm dứt quá trình mã hóa tệp và thoát ra mà không gây hại cho các tệp.

Hơn nữa, sau đó trong bài viết này, The Hacker News cũng đã giải thích cách các nhà nghiên cứu tận dụng điểm yếu logic trong cơ sở hạ tầng ransomware cho phép họ ngăn chặn phần mềm độc hại này tạm thời lây nhiễm nạn nhân mới.

Ransomware mới nhắm tới các thiết bị NAS (Network Attached Storage)_2

Sau khi thực hiện, phần mềm ransomware mã hóa tập tin trước tiên kết nối với máy chủ chỉ huy và kiểm soát từ xa của nó, được bảo vệ đằng sau mạng Tor, sử dụng proxy SOCKS5 Tor để thông báo cho kẻ tấn công về nạn nhân mới.

“Dựa trên phân tích, rõ ràng proxy đã được tác giả phần mềm độc hại thiết lập để cung cấp quyền truy cập mạng Tor cho phần mềm độc hại mà không bao gồm chức năng Tor trong phần mềm độc hại”, các nhà nghiên cứu của Anomali nói.

Trước khi mã hóa tập tin, ransomware yêu cầu một địa chỉ ví bitcoin riêng biệt (unique), nơi các nạn nhân có nghĩa vụ chuyển số tiền chuộc, từ máy chủ C & C của kẻ tấn công có chứa danh sách các địa chỉ bitcoin đã được xác định trước.

Ransomware mới nhắm tới các thiết bị NAS (Network Attached Storage)_3

Nếu máy chủ hết địa chỉ bitcoin chưa được sử dụng (unique), ransomware sẽ không tiến hành mã hóa tệp và chờ kẻ tấn công tạo và cung cấp địa chỉ mới. Điều thú vị là các nhà nghiên cứu tại Intezer đã tận dụng cơ chế này và tạo ra một kịch bản cho phép họ lừa máy chủ C & C của kẻ tấn công để gán tất cả các địa chỉ bitcoin có sẵn cho hàng trăm nạn nhân ảo, từ đó chặn phần mềm ransomware mã hóa các tệp cho nạn nhân mới.

Intezer nói: “Vì các tác giả đằng sau phần mềm ransomware này đang cung cấp một ví Bitcoin cho mỗi nạn nhân từ một nhóm ví tĩnh được tạo ra, chúng tôi có thể sao chép các gói lây nhiễm để lấy tất cả các ví cho đến khi họ không còn ví nào dưới sự kiểm soát của họ”

“Chúng tôi đã có thể thu thập tổng cộng 1.091 ví duy nhất có nghĩa là được gửi đến các nạn nhân mới được phân phối trong số 15 chiến dịch khác nhau.”

Nếu ransomware nhận được ví bitcoin duy nhất của nó, nó sẽ tạo ra chuỗi ngẫu nhiên gồm 32 ký tự để tạo khóa bí mật AES-256 và sau đó sử dụng nó để mã hóa tất cả các tệp được lưu trữ trên thiết bị NAS được nhắm mục tiêu bằng thuật toán AES trong Cipher Feedback Mode (CFB), loại bỏ các tập tin gốc.

Ransomware mới nhắm tới các thiết bị NAS (Network Attached Storage)_4

Vì mô-đun mã hóa sử dụng gói toán học để tạo khóa bí mật, Anomali cho biết có khả năng các nhà nghiên cứu có thể viết một bộ giải mã cho họ ransomware mới vì chức năng này không hoàn toàn ngẫu nhiên.

Các nhà nghiên cứu cũng lưu ý rằng trước khi mã hóa các tệp được lưu trữ trên các thiết bị NAS được nhắm mục tiêu, ransomware cũng cố gắng kill một danh sách các quy trình cụ thể, bao gồm apache2, httpd, nginx, MySQL, mysql và PostgreQuery.

Xin nhắc lại, chúng tôi khuyên người dùng không nên kết nối trực tiếp các thiết bị NAS của họ với Internet và cũng cho phép cập nhật tự động để luôn cập nhật chương trình cơ sở.

Ngoài ra, người dùng luôn được khuyến nghị sử dụng mật khẩu mạnh để bảo mật thiết bị NAS của họ ngay từ đầu và thường xuyên sao lưu thông tin được lưu trữ trên các thiết bị này, để trong trường hợp có thảm họa, dữ liệu quan trọng có thể được phục hồi mà không phải trả tiền chuộc cho kẻ tấn công.

Nguồn: A New Ransomware Is Targeting Network Attached Storage (NAS) Devices

Tags: , , ,