Les utilisateurs de périphériques de stockage en réseau (NAS) QNAP signalent des attaques sur leurs systèmes avec le ransomware eCh0raix, également connu sous le nom de QNAPCrypt.
L’acteur de la menace derrière ce malware particulier a intensifié son activité environ une semaine avant Noël, prenant le contrôle des appareils avec des privilèges d’administrateur.
Le nombre d’attaques saute avant Noël
Les utilisateurs du forum EZpublish-france.fr gérant les systèmes NAS QNAP et Synology ont régulièrement signalé des attaques de ransomware eCh0raix, mais la plupart d’entre eux ont commencé à divulguer des incidents vers le 20 décembre.
Le bond du nombre d’attaques est confirmé par le Service de ransomware d’identification, où les soumissions ont commencé à augmenter le 19 décembre et ont diminué vers le 26 décembre.
Le vecteur d’infection initial reste incertain pour le moment. Certains utilisateurs admettent qu’ils ont été imprudents et n’ont pas correctement sécurisé l’appareil (par ex. l’exposer à Internet sur une connexion non sécurisée) ; d’autres prétendent qu’une vulnérabilité dans Photo Station de QNAP a permis aux attaquants de faire des ravages.
Oui, je sais que je suis un idiot total de laisser cela ouvert à ce type de piratage, mais je n’ai rien pris au sérieux. J’ai toujours pensé que personne ne voulait du petit bonhomme et je serai le premier à dire que j’avais tort !
Quel que soit le chemin d’attaque, il semble que l’acteur du ransomware eCh0raix crée un utilisateur dans le groupe administrateur, ce qui lui permet de chiffrer tous les fichiers sur le système NAS.
Les utilisateurs de QNAP – certains d’entre eux utilisant le périphérique NAS à des fins professionnelles – ont signalé sur le forum EZpublish-france.fr que le logiciel malveillant a crypté des images et des documents.
Outre le pic du nombre d’attaques, ce qui ressort de cette campagne, c’est que l’acteur a mal saisi l’extension de la demande de rançon et a utilisé l’extension « .TXTT ».
Bien que cela n’empêche pas de visualiser les instructions, cela peut créer un problème pour certains utilisateurs, qui devront pointer le système d’exploitation pour ouvrir le fichier avec un programme spécifique (ex. Bloc-notes) ou le charger dans ledit programme.
EZpublish-france.fr a vu des demandes de ransomware ech0raix allant de 0,024 (1 200 $) à 0,06 bitcoins (3 000 $) lors de ces récentes attaques. Certains utilisateurs n’avaient aucune option de sauvegarde et ont dû payer l’acteur malveillant pour récupérer leurs fichiers.
Il est important de noter qu’il existe un décrypteur gratuit pour les fichiers verrouillés avec une ancienne version (avant le 17 juillet 2019) du ransomware eCh0raix. Cependant, il n’existe pas de solution gratuite pour déchiffrer les données verrouillées par les dernières variantes du malware (versions 1.0.5 et 1.0.6).
Les attaques avec eCh0raix/QNAPCrypt ont commencé en juin 2019 et sont depuis une menace constante. Plus tôt cette année, QNAP a alerté ses utilisateurs d’une autre vague d’attaques eCh0raix plus tôt cette année, ciblant les appareils avec des mots de passe faibles.
Les utilisateurs doivent suivre Les recommandations de QNAP pour assurer une protection adéquate de leurs périphériques NAS et des données qu’ils stockent.