Une variante du ransomware eCh0raix récemment découverte a ajouté la prise en charge du chiffrement des appareils QNAP et Synology Network-Attached Storage (NAS).

Cette souche de ransomware (également connue sous le nom de QNAPCrypt) est apparue pour la première fois en juin 2016, après que les victimes ont commencé à signaler des attaques dans un sujet de forum BleepingComputer.

Le ransomware a frappé les appareils NAS QNAP en plusieurs vagues, dont deux à grande échelle ont été signalés en juin 2019 et en juin 2020.

eCh0raix a également chiffré les appareils fabriqués par Synology en 2019, les chercheurs d’Anomali ont découvert que les attaquants avaient forcé les informations d’identification d’administrateur à l’aide d’informations d’identification par défaut ou d’attaques par dictionnaire.

À l’époque, le fabricant de NAS a averti ses clients de sécuriser leurs données contre une campagne de ransomware en cours et à grande échelle. Cependant, il n’a pas nommé l’opération de ransomware responsable des attaques.

Objectifs définis pour les clients Synology et QNAP

Bien qu’il ait ciblé à la fois les appareils QNAP et Synology dans le passé dans des campagnes distinctes, les chercheurs en sécurité de l’unité 42 de Palo Alto Networks ont déclaré dans un rapport publié aujourd’hui qu’eCh0raix avait commencé à regrouper des fonctionnalités pour chiffrer les deux familles de NAS à partir de septembre 2020.

« Avant cela, les attaquants disposaient probablement de bases de code distinctes pour les campagnes ciblant les appareils de chacun des fournisseurs », a déclaré Unit 42.

Comme ils l’ont en outre révélé, les opérateurs de ransomware exploitent CVE-2021-28799 (une vulnérabilité permettant aux attaquants d’accéder à des informations d’identification codées en dur, alias un compte de porte dérobée) pour chiffrer les appareils QNAP. Avril.

Les attaquants se frayent un chemin pour livrer les charges utiles du ransomware sur les appareils Synology NAS en essayant de deviner les informations d’identification administratives couramment utilisées (la même tactique utilisée dans la campagne Synology 2019 mentionnée ci-dessus).

Même s’il ne l’a pas directement connecté au ransomware eCh0raix, Synology a émis un avis de sécurité…