Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!

E’ stata individuata una nuova famiglia di ransomware che mira specificatamente i NAS (Network Attached Storage) prodotti dalla QNAP System, azienda con sede in Taiwan. I NAS QNAP, basati su Linux, ottimali per home user e piccole imprese, sono unità di archiviazione dati collegate alla rete o tramite Internet: consentono agli utenti di archiviare e condividere i propri dati e backup con più computer.

QNAPCrypt: come infetta i NAS QNAP
Il nuovo ransomware, scritto in linguaggio GO e soprannominato eCh0raix o QNAPCrypt, è già usato in attacchi reali per infettare e criptare i dati contenuti nei QNAP. I metodi di infezione individuati per adesso sono due:
il brute-forcing di NAS QNAP con credenziali deboli;
l’exploit di vulnerabilità già conosciute che affliggono svariate versioni dei NAS QNAP tra le quali QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II e QNAP TS 253B.
Le prime analisi indicano che QNAPCrypt viene usato in attacchi mirati che prevedono l’uso di una chiave pubblica codificata nel codice stesso del malware, compilata per il target specifico con una chiave univoca.

Le comunicazioni col Server di comando e controllo
Altra particolarità notata dai ricercatori è che, nonostante i server di comando e controllo di QNAPCrypt si trovino su TOR, il ransomware non contiene alcun client per connettersi a Tor: gli autori del ransomware hanno invece creato un proxy SOCKS5 al quale il ransomware si connette per le comunicazioni C&C.

QNAPCrypt si connette al proxy SOCKS5
Una volta connesso al server C&C, il ransomware scaricherà la nota di riscatto, la chiave pubblica RSA usata per la criptazione della chiave (che viene a sua volta usata per criptare i file delle vittime) e invierà agli attaccanti, in tempo reale, informazioni sull’attività del malware. Il monitoraggio di queste attività di rete non ha però portato all’individuazione di informazioni sui sistemi infetti, quindi è ad ora poco chiaro quali informazioni consentano agli attaccanti di distinguere le varie vittime di QNAPCrypt.

Pare però che gli attori dietro questo ransomware abbiano creato una API che può essere usata per richiedere una serie di informazioni: ad esempio è stato osservato come QNAPCrypt si colleghi ad un URL specifico per recuperare una chiave di criptazione pubblica che si basa sull’ID della specifica campagna. Ad ora non abbiamo però strumenti per poter affermare che questi ID siano associati alla campagna stessa oppure ai singoli affiliati alla rete di distribuzione del ransomware.

Come cripta i file
Una volta eseguito sul NAS, QNAPCrypt eseguirà una verifica della lingua impostata sul sistema, per verificare se il NAS target si trovi o meno nei paesi CIS, la Comunità degli Stati Indipendenti, un’organizzazione internazionale composta da nove delle quindici ex repubbliche sovietiche, cui si aggiunge il Turkmenistan come membro associato. Se il target si trova in un paese CIS, i file non verranno criptati.

Dopo questa prima verifica il ransomware cercherà e terminerà i seguenti processi usando i comandi “service stop %s” o “systemctl stop %s”:
apache2
httpd
nginx
mysqld
mysqd
php-fpm
Questo ransomware cripta una grandissima varietà di tipologie di file, ma, durante la ricerca dei file da criptare sul NAS bersaglio, non cripterà quei file che si trovano in percorsi che includono le seguenti stringhe:
/proc
/boot/
/sys/
/run/
/dev/
/etc/
/home/httpd
/mnt/ext/opt
.system/thumbnail
.system/opt
.config
.qpkg.
Dato che la quasi totalità dei NAS QNAP non dispone di alcuna soluzione anti malware, QNAPCrypt ha libertà quasi assoluta nella criptazione dei file sui sistemi compromessi. Eseguire una soluzione anti malware sul NAS però non porta a grandi differenze: il tasso di rilevamento da parte delle soluzioni antivirus, stando ai dati di VirusTotal, è comunque bassissimo. Al momento della scrittura di questo approfondimento, sono solo 13 su 53 i motori di scansione malware che riescono a individuarlo come dannoso.

I file criptati da questo ransomware sono riconoscibile dal fatto che, pur rimanendo invariato il nome file, QNAPCrypt aggiunge l’estensione .encrypt al file criptato.

Esempi di file criptati

La nota di riscatto
La nota di riscatto viene creata già durante l’attività di scansione e ricerca dei file da criptare: la nota di riscatto, rinominata “README_FOR_DECRYPT.txt”, verrà copiata in ogni cartella contenente file criptati. Il testo contiene il link ad un sito Tor, un indirizzo Bitcoin Associato e la chiave di criptazione privata della vittima. Ad ora l’ammontare del riscatto oscilla tra gli 0.05 e gli 0.06 Bitcoin.

Disponibile la soluzione
“L’analisi di questo ransomware è stata molto complessa” spiegano Alessandro Papini, esperto di sicurezza IT e Andrea Bettoni, CEO del network s-mart “abbiamo provveduto, col nostro team di esperti, a studiare il meccanismo di infezione e criptazione perchè abbiamo già ricevuto molteplici segnalazioni di infezione da parte di alcuni nostri clienti, segno che QNAPCrypt, per quanto ‘giovane’ sta già circolando in Europa e in Italia. Siamo quindi riusciti ad approntare un tool per la decriptazione dei file, che consentirà alle vittime di rientrare in possesso dei propri file senza cedere al ricatto dei cyber criminali. Anche perchè, per adesso, non ci sono precedenti che dimostrino che al pagamento del riscatto segua davvero l’invio del tool di decriptazione alla vittima”.

Chi ha subito questa infezione può inviarci due file criptati e la nota di riscatto all’email alessandro@nwkcloud.com. I nostri tecnici eseguiranno una verifica dei file criptati e appronteranno lo specifico tool tenendo di conto della chiave unica privata della vittima stessa.

Per ulteriori informazioni sul nostro servizio di risoluzione ransomware vedi qui >> http://www.decryptolocker.it/

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy