In questi giorni i ricercatori di Anomali hanno scoperto un pericoloso ransomware che dapprima avvia un’attività di brute forcing delle password usate a protezione del contenuto dei server NAS QNAP quindi, una volta guadagnato l’accesso al dispositivo, provvede a crittografare una lunga schiera di tipi di file (compresi documenti e foto).
Il malware è stato battezzato eCh0raix in forza della presenza della stessa stringa all’interno dei componenti del ransomware.
Sebbene sia prevista la connessione a un server command and control (C2) attraverso la rete Tor, il ransomware al momento non contiene alcun client e dialoga con i server dei criminali informatici usando un proxy SOCKS5.
I NAS QNAP non vengono distribuiti con una soluzione antimalware attiva: il ransomware ha quindi gioco facile per crittografare i file degli utenti e richiedere un riscatto in denaro al fine di ricevere la chiave di decodifica.
I ricercatori di Anomali spiegano che i criminali informatici hanno usato il pacchetto Math per generare la chiave privata adoperata per cifrare i file degli utenti (il ransomware è stato scritto usando il linguaggio di programmazione Google Go): si tratta di una procedura che non permette di generare dati random e che quindi potrebbe essere possibile risalire alla chiave di decodifica (l’analisi è attualmente in corso). Maggiori informazioni sono pubblicate a questo indirizzo.
Da parte nostra aggiungiamo che i NAS QNAP offrono comunque la possibilità di creare delle “immagini” del contenuto del dispositivo. La funzionalità Spazio snapshot garantito, illustrata in questa pagina al paragrafo Fasi per ripristinare i file con le istantanee, consente di superare anche un’infezione da ransomware ripristinando una copia di tutti i file crittografati dal malware.
Appare evidente che esporre il NAS sull’IP pubblico senza piuttosto servirsi di una connessione VPN e usare password deboli per gli account amministrativi sono pratiche assolutamente sconsigliate.