NAS tárolókat támad a zsarolóvírus

Posted on 2 July, 2019 by Mentor IT Lovag

Kifejezetten az internetre kötött háttértárolókat támadó zsarolóvírust fedeztek fel az Anomali vállalat kutatói. A zsarolóvírus a tajvani QNAP által gyártott NAS tárolókat veszi célba.

Egy frissen felfedezett zsarolóvírus a tajvani QNAP internetre kötött médialejátszóit és NAS háttértárolóit célozza meg. A júniusban felfedezett vírus az eCh0raix nevet kapta (egy kódrészlete alapján), és azt az Anomali vállalat kutatói elemezték részletesen. A támadás opportunista, ami ebben az esetben annyit jelent, hogy a nem titkosított portokon keresztül az internetre kötött tárolók esetében brute-force támadással igyekeznek kitalálni a gyengébb jelszavakat.

A személyes és vállalati adatok tárolására vagy biztonsági mentésére használt NAS tárolók kifejezetten kiemelt célpontjai a zsarolóvírusos támadásoknak. Azonban eddig a támadás a számítógépen keresztül érkezett, és ha ott sikeres volt, egyes kiforrottabb variánsok a számítógéphez csatlakozó háttértárolóra is átterjedtek, majd ott is titkosították az adatokat. A külső háttértárolókon általában kritikus információkat tárolunk, ennek ellenére ezeket az eszközöket nagyon gyakran nem védi egyetlen biztonsági megoldás sem.

Az új zsarolóvírus azonban kifejezetten a QNAP NAS tárolók ismert biztonsági hibáira épít – amelyekből volt egy jó pár az elmúlt időben. Ezeket a vállalat annak rendje és módja szerint ki is javította, de ha az asztali számítógépre is lusták vagyunk telepíteni a biztonsági frissítéseket, a háttértárolókra még ennél is kevésbé terjed ki az átlagos felhasználó figyelme.

A zsarolóvírus relatív egyszerű – a forráskód kevesebb, mint 400 sorból áll –, és a Go programozó nyelvben készült. Egyébként meg tipikusan működik, ha már a rendszerbe bejutott, akkor ellenőrzi, hogy a fájlok már titkosítottak-a vagy sem, mielőtt csatlakozna az irányítóközpontjához, hogy elkezdődjön a titkosítás folyamata. A felhasználókat egy Tor weboldalra irányítják, hogy ott fizessék ki a váltságdíjat, illetve figyelmeztetik őket, hogy ne próbálkozzanak a titkosítás feloldásával. Az angol nyelvű levélben ejtett helyesírási hibák miatt a kutatók azt gondolják, a vírus szerzői nem angol anyanyelvűek.

A szakemberek azt javasolják, a NAS tárolóeszközöket megfelelő beállításokkal védjük meg: például tiltsuk le a külső hozzáférést, hogy az eszközöket csak a belső hálózatról, a külső internetről nem érhessék el. Javasolt továbbá a biztonsági frissítések azonnali telepítése és a nehezen kitalálható jelszavak használata.