Η QNAP ενημέρωσε τους πελάτες της ότι πρέπει να προστατεύουν τις NAS συσκευές τους από νέες επιθέσεις που χρησιμοποιούν το Checkmate ransomware για την κρυπτογράφηση δεδομένων.
Η ταϊβανέζικη εταιρεία λέει ότι οι επιθέσεις επικεντρώνονται σε συσκευές QNAP που εκτίθενται στο Διαδίκτυο με ενεργοποιημένο το SMB service και λογαριασμούς με αδύναμους κωδικούς πρόσβασης που μπορούν εύκολα να σπάσουν με brute-force επιθέσεις.
“Πρόσφατα αντιληφθήκαμε την ύπαρξη ενός νέου ransomware γνωστού ως Checkmate“, δήλωσε ο κατασκευαστής των NAS συσκευών σε ένα security advisory που δημοσιεύθηκε την Πέμπτη.
Δείτε επίσης: Ψεύτικες καταγγελίες πνευματικών δικαιωμάτων διανέμουν το IcedID malware μέσω Yandex Forms
“Η προκαταρκτική έρευνα δείχνει ότι το Checkmate ransomware επιτίθεται μέσω SMB services που εκτίθενται στο Διαδίκτυο και χρησιμοποιεί μια επίθεση dictionary για να σπάσει λογαριασμούς με αδύναμους κωδικούς πρόσβασης“.
Το Checkmate είναι ένα στέλεχος ransomware που ανακαλύφθηκε πρόσφατα. Εντοπίστηκε πρώτη φορά σε επιθέσεις γύρω στις 28 Μαΐου. Το ransomware προσαρτά μια επέκταση .checkmate σε κρυπτογραφημένα αρχεία και εμφανίζει ένα σημείωμα λύτρων με το όνομα !CHECKMATE_DECRYPTION_README.
Αν και δεν υπάρχουν αναφορές στα επίσημα φόρουμ της QNAP ή στα κοινωνικά δίκτυα, τα θύματα έχουν μοιραστεί αρχεία που έχουν κλειδωθεί από το Checkmate ransomware σε ένα αποκλειστικό forum thread του BleepingComputer.
Με βάση τα σημειώματα λύτρων που έχει δει μέχρι στιγμής το BleepingComputer, οι επιτιθέμενοι ζητούν λύτρα ύψους 15.000 δολαρίων, σε bitcoin, για να δώσουν ένα εργαλείο αποκρυπτογράφησης.
Δείτε επίσης: Apple Lockdown Mode: Τι είναι και πώς να το ενεργοποιήσετε;
Σύμφωνα με την QNAP, οι φορείς απειλών συνδέονται εξ αποστάσεως σε συσκευές που εκτίθενται σε απομακρυσμένη πρόσβαση, με τη βοήθεια λογαριασμών που έχουν παραβιαστεί σε επιθέσεις dictionary.
Αφού αποκτήσουν πρόσβαση, αρχίζουν να κρυπτογραφούν αρχεία σε shared folders (ωστόσο, οι αναφορές θυμάτων λένε ότι όλα τα δεδομένα είναι κρυπτογραφημένα).
QNAP NAS: Πώς να προστατευτείτε από επιθέσεις από το ransomware Checkmate;
Η εταιρεία προειδοποίησε τους πελάτες να μην εκθέτουν τις συσκευές NAS τους στο Διαδίκτυο και να χρησιμοποιούν λογισμικό VPN για να μειώσουν το attack surface και να αποκλείσουν τις προσπάθειες των παραγόντων απειλής να συνδεθούν χρησιμοποιώντας παραβιασμένους λογαριασμούς.
Οι χρήστες των QNAP NAS συσκευών κλήθηκαν επίσης να ελέγξουν όλους τους λογαριασμούς NAS και να βεβαιωθούν ότι χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης, να δημιουργούν αντίγραφα ασφαλείας των αρχείων τους και να κάνουν backup snapshots για την επαναφορά των δεδομένων τους.
Καλό είναι, επίσης, να απενεργοποιηθεί το SMB 1, το οποίο γίνεται με είσοδο στο QTS, στο QuTS hero ή στο QuTScloud, μεταβαίνοντας στο Control Panel > Network & File > Win/Mac/NFS/WebDAV > Microsoft Networking και επιλέγοντας “SMB 2 ή νεότερη έκδοση” αφού γίνει κλικ στο Advanced Options.
Δείτε επίσης: Το νέο malware OrBit κλέβει δεδομένα από συσκευές Linux
Η QNAP συνιστά, επίσης, την ενημέρωση του firmware της συσκευής NAS στην πιο πρόσφατη έκδοση, πραγματοποιώντας σύνδεση στο QTS, στο QuTS hero ή στο QuTScloud ως διαχειριστής και πατώντας “Check for Update” στο “Live Update” από το Control Panel > System > Firmware Update.
“Διερευνούμε διεξοδικά την υπόθεση και θα παράσχουμε περισσότερες πληροφορίες το συντομότερο δυνατό“, πρόσθεσε η QNAP.
Αξίζει να σημειωθεί ότι πέρα από το Checkmate, υπάρχει και το ech0raix ransomware που στοχεύει ευάλωτες συσκευές QNAP NAS ξανά από τα μέσα Ιουνίου. Επίσης, η QNAP είπε τον περασμένο μήνα ότι “διερευνά διεξοδικά” μια νέα σειρά επιθέσεων που ωθούν το DeadBolt ransomware.
Πηγή: www.bleepingcomputer.com
