QNAPCrypt tiếp tục lan rộng thông qua các cuộc tấn công brute-force attacks.
Một trường hợp hiếm hoi của ransomware nhắm vào các hệ thống lưu trữ tệp dựa trên Linux (cụ thể là các máy chủ lưu trữ gắn mạng) đã được phát hiện, lan truyền qua 15 chiến dịch riêng biệt nhưng có liên quan đến nhau. Theo các nhà nghiên cứu, các đối thủ đằng sau nỗ lực này đang tiếp tục các cuộc suy thoái của họ trên cơ sở đang diễn ra, vì vậy các mục tiêu dự kiến sẽ sinh sôi nảy nở.
Các nhà nghiên cứu tại Intezer Labs đã đặt tên cho phần mềm độc hại là QNAPCrypt, vì nó tập trung vào QNAP, một trong những nhà cung cấp máy chủ NAS hàng đầu hiện nay.
Các máy chủ của NAS thường lưu trữ một lượng lớn dữ liệu và tệp quan trọng , khiến chúng trở thành mục tiêu quý giá cho những kẻ tấn công và đặc biệt là mục tiêu khả thi cho các chiến dịch ransomware, nhà nghiên cứu của Ign Intezer, Ignacio Sanmillan cho biết trong một phân tích về phần mềm độc hại, được đăng trong tuần này. Tuy nhiên, ông lưu ý rằng, rất hiếm khi thấy ransomware được sử dụng để nhắm mục tiêu vào hệ điều hành Linux.
QNAPCrypt có một vài thuộc tính khác với ransomware tiêu chuẩn, các nhà nghiên cứu cho biết. Giống như nhiều phần mềm chuộc tiền, đó là một biến thể ARM mã hóa tất cả các tệp, nhưng ghi chú tiền chuộc chỉ được gửi dưới dạng tệp văn bản còn lại trên máy, không có bất kỳ thông báo nào trên màn hình. Tự nhiên, bởi vì nó là một máy chủ và không phải là điểm cuối.
Ngoài ra, mỗi nạn nhân đều được cung cấp một ví Bitcoin khác nhau, độc đáo – một khía cạnh giúp kẻ tấn công tránh bị truy tìm thông qua các dòng tiền – bị truy tìm. Khi nạn nhân bị xâm nhập, phần mềm độc hại sẽ yêu cầu địa chỉ ví và khóa RSA công khai từ máy chủ chỉ huy và kiểm soát (CC2) trước khi mã hóa tệp.
Đây là chức năng ví đã được chứng minh là một chút gót chân Achilles cho những kẻ tấn công. Các nhà nghiên cứu đã xác định một vài trong số những gì nhà nghiên cứu nói là những sai sót trong thiết kế lớn, cho phép họ tạm thời chặn các hoạt động của các tác nhân đe dọa.
Trước hết, danh sách ví bitcoin là tĩnh và được tạo trước chiến dịch.
Do đó, nó không tạo ra một ví mới cho mỗi nạn nhân mới trong thời gian thực mà thay vào đó, họ lấy một địa chỉ ví từ một danh sách cố định, được xác định trước, các nhà nghiên cứu giải thích.
Thứ hai, danh sách, là tĩnh, cũng là hữu hạn. Một khi tất cả các ví được phân bổ (hoặc gửi), ransomware sẽ không thể tiếp tục hoạt động độc hại trong máy của nạn nhân, họ nói.
Điều này đã mở ra cơ hội cho Intezer có thể thực hiện cuộc tấn công từ chối dịch vụ (DoS) về cơ bản bằng cách mô phỏng sự lây nhiễm của hơn 1.091 nạn nhân, buộc những kẻ tấn công phải chạy qua danh sách ví Bitcoin duy nhất của họ để cung cấp cho nạn nhân của họ .
Trong khi nghiên cứu phiên bản ARM của phần mềm độc hại, chúng tôi đã quan sát thấy rằng có một yêu cầu thông qua API REST của họ để lấy các khóa cấu hình nạn nhân mới, chuyên gia của San Sananan giải thích thêm rằng việc này được thực hiện thông qua kết nối với proxy SOCKS5. Ở đây có một lỗ hổng thiết kế thứ ba Kết nối đó, với proxy SOCKS5, được hoàn thành mà không có bất kỳ xác thực nào được thực thi, vì vậy bất kỳ ai cũng có khả năng kết nối với nó.
Ý tưởng này chỉ đơn giản là lạm dụng thực tế là không có cách xác thực nào được thực thi để kết nối với proxy SOCKS5, Sanmillan giải thích. Vì các tác giả đằng sau phần mềm ransomware này đang cung cấp một ví Bitcoin cho mỗi nạn nhân từ một nhóm ví tĩnh đã được tạo, chúng tôi có thể sao chép các gói lây nhiễm để lấy tất cả các ví cho đến khi họ không còn ví nào dưới sự kiểm soát của họ. Do đó, khi xảy ra nhiễm trùng chính hãng, máy khách đòi tiền chuộc sẽ không thể truy xuất các tạo phẩm cấu hình.
Những kẻ tấn công đã chú ý và không lâu sau khi Intezer phát hiện ra các biến thể QNAPCrypt được cập nhật.
Kết quả là, các tác giả đằng sau phần mềm độc hại này đã buộc phải cập nhật bộ cấy của mình để phá vỡ lỗ hổng thiết kế này trong cơ sở hạ tầng của họ để tiếp tục với các hoạt động độc hại của họ, ông Sam Saman nói. Sau vài ngày liên tục thực hiện các ứng dụng khách QNAPCrypt, chúng tôi đã gặp một mẫu QNAPCrypt khác nhưng lần này nhắm mục tiêu vào các hệ thống x86.
Bộ cấy mới hơn này sử dụng lại một phần lớn mã với các phiên bản cũ của x86 Linux.Rex , một phần mềm độc hại đã tạo tiêu đề vào năm 2016 dưới dạng trojan tự sao chép sử dụng các máy bị nhiễm để tạo botnet ngang hàng, để tiến hành ransomware và hoạt động DDoS.
Chúng tôi giải thích việc phát hiện ra những trường hợp mới hơn với cấu hình được mã hóa cứng này là phản ứng từ các tác nhân đe dọa đằng sau chiến dịch này nhằm cố gắng phá vỡ DoS, theo ông San Sananan. Điều này ngụ ý rằng họ đã buộc phải thay đổi bộ cấy và tập trung vào ví bitcoin của họ, giúp việc theo dõi thu nhập của họ thông qua các chiến dịch ransomware của họ thuận tiện hơn.
Intezer xác định rằng vectơ tấn công ban đầu cho các chiến dịch là các cuộc tấn công brute-force SSH, vì vậy các quản trị viên nên cẩn thận cập nhật thông tin đăng nhập của họ bằng mật khẩu mạnh để tránh bị lây nhiễm.
Đối với quyết định nhắm mục tiêu vào NAS, Chris Morales, người đứng đầu phân tích bảo mật tại Vectra, nói rằng việc triển khai giám sát điểm cuối tới máy chủ tệp mạng Linux chuyên dụng – do đó, phần mềm độc hại QNAPCrypt đại diện cho sự phát triển và thích ứng của một cuộc tấn công để bỏ qua kiểm soát an ninh.
Những gì thường xảy ra trong một cuộc tấn công ransomware sẽ là một máy tính để bàn, là Windows hoặc OS X, sẽ bị xâm phạm thông qua một chiến dịch lừa đảo hoặc lừa đảo hiện có, anh ấy giải thích. Một khi máy chủ bị nhiễm, phần mềm độc hại được thiết kế để lan truyền trên các hệ thống người dùng và mã hóa các máy chủ tệp mạng được kết nối với các hệ thống đó. Bằng cách nhắm mục tiêu trực tiếp vào máy chủ tệp mạng, rất có thể cuộc tấn công đang phá vỡ sự phát hiện của các công cụ bảo mật điểm cuối đang theo dõi các hành vi mã hóa cục bộ.
(Theo threatpost)