พบ Ransomware ตัวใหม่ ‘eChoraix’ สามารถโจมตีอุปกรณ์ QNAP NAS ได้ 

14 ก.ค.62 (08:40 น.)
เปิดอ่าน 161 ครั้ง
ผู้เชี่ยวชาญจาก Anomali Threat Research ได้ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ที่ตั้งชื่อตาม String ที่ปรากฏในโค้ดภาษา Go ของมัลแวร์ว่า ‘eCh0raix’ โดยมีความสามารถที่น่าสนใจคือการ Brute-force โจมตีอุปกรณ์ NAS Storage ของค่าย QNAP ได้


สำหรับอุปกรณ์ที่ถูกรายงานเข้ามาจากผู้ใช้งานแล้วในขณะนี้ก็คือ QNAP รุ่น TS-251, TS-451, TS-459 Pro II และ TS 253B เป็นต้น ทั้งนี้ทาง QNAP เองก็มีคำแนะนำสำหรับกู้คืน Snapshot เผยแพร่ไว้อยู่แล้วที่นี่ นอกจากนี้จากหลักฐานที่พบคือ eCh0raixได้ใช้กุญแจแตกต่างกันในเหยื่อแต่ละราย รวมถึงใช้เซิร์ฟเวอร์ควบคุมผ่านเครือข่าย Tor แต่ใช้ SOCKS5 Proxy ส่งสารแทนการใช้ Tor Client ซึ่งความน่าสนใจคือคนร้ายได้เลือกละเว้นเหยื่อที่ใช้ภาษาของกลุ่มประเทศรัฐเอกราช (CIS Country) ด้วย

โดยหลังจากที่เชื่อมต่อกับเซิร์ฟเวอร์ได้แล้วจะมีการดาวน์โหลดไฟล์เรียกค่าไถ่และใช้ RSA Public Key เพื่อเข้ารหัส Key เข้ารหัสสำหรับเหยื่ออีกทีหนึ่ง รวมถึงมีการติดตามกิจกรรมของมัลแวร์ด้วย อย่างไรก็ตามนักวิจัยพบว่าคนร้ายจะไม่สามารถแยกแยะเหยื่อได้เนื่องจากไม่มีการส่งข้อมูลของระบบ ทั้งนี้คนร้ายยังได้พัฒนา API ขึ้นมาสำหรับร้องขอข้อมูลอื่นที่สันนิษฐานว่าอาจใช้ร้องขอ Public Key ตามเลขแคมเปญด้วย ตามรูปด้านล่าง


eCh0raix ค้นหาและสั่ง Kill โปรเซสบน NAS ด้วยคำสั่ง service stop %s หรือ systemctl stop %s กับโปรเซส เช่น apache2, httpd, nginx, mysqld, mysqd และ php-fpm เป็นต้น รวมถึงยังละเว้น Path และไฟล์ตามรูปด้านล่างอย่างอัตโนมัติ โดยจะเข้ารหัสไฟล์เอกสารจำพวก Microsoft Office, Open Office, PDF, Text, Archive, Database, รูปภาพ, หนัง, เพลง และไฟล์อิมเมจต่างๆ ผ่านอัลกอริทึม AES ในโหมด Cipher Feedback (CFB)


ในท้ายที่สุดแล้วคนร้ายจะร้องขอเงินค่าไถ่ราว 0.05 – 0.06 BTC เพื่อแลกกับตัวถอดรหัส อย่างไรก็ดีผู้เชี่ยวชาญกล่าวว่า “มัลแวร์ใช้แพ็กเกจทางคณิตศาสตร์เพื่อสร้าง Secret Key ซึ่งไม่ได้สุ่มขึ้น ดังนั้นเป็นไปได้ในทางปฏิบัติที่จะเขียน Decryptor ขึ้นมาได้” โดย QNAP NAS ไม่ได้มีโซลูชัน Anti-malware ติดมาและถึงแม้ว่ามีก็ยังยากที่จะป้องกัน เพราะจากการทดสอบด้วย 55 โซลูชันบน VirusTotal พบว่ามีเพียง 3 โซลูชันเท่านั้นที่สามารถตรวจจับ eCh0raix ได้ว่าเป็นมัลแวร์

ที่มา :  https://www.bleepingcomputer.com/news/security/new-ech0raix-ransomware-brute-forces-qnap-nas-devices/ , https://www.techtalkthai.com/echoraix-ransomware-can-brute-force-attack-qnap-nas/

RTAF SYMPOSIUM 2020 TOUR

ล่าสุด

อัปเดตด่วน พบช่องโหว่ใน Apache Tomcat AJP สามารถอ่านไฟล์บนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน (Ghostcat : CVE-2020-1938)
26 ก.พ.63(8 นาที) อ่าน 11 ครั้ง
นักพัฒนาซอฟต์แวร์พบช่องโหว่ในระบบ McDonald สั่งอาหารได้ฟรีทุกครั้ง
24 ก.พ.63(2 วัน) อ่าน 12 ครั้ง
องค์การอนามัยโลกเตือนระวังแคมเปญ Phishing เรื่องไวรัสโคโรน่า
24 ก.พ.63(2 วัน) อ่าน 19 ครั้ง
ระวังมัลแวร์ Emotet ขโมยรหัสธนาคารออนไลน์ แพร่กระจายผ่าน Wi-Fi
17 ก.พ.63(8 วัน) อ่าน 67 ครั้ง
Microsoft เตือนผู้ดูแล Exchange เร่งปิด SMBv1 ป้องกันมัลแวร์
14 ก.พ.63(12 วัน) อ่าน 57 ครั้ง
สหรัฐฯ เข้าจับแฮ็กเกอร์ชาวจีนกรณีแฮ็ก Equifax
11 ก.พ.63(15 วัน) อ่าน 25 ครั้ง
พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้
8 ก.พ.63(18 วัน) อ่าน 18 ครั้ง
พบ Backdoor ในชิป HiSilicon คาดอุปกรณ์ DVR/NVR จำนวนมากตกอยู่ในความเสี่ยง
8 ก.พ.63(18 วัน) อ่าน 15 ครั้ง
วิธีการป้องกันภัยจากฟิชชิ่ง (Phishing)
6 ก.พ.63(20 วัน) อ่าน 85 ครั้ง
ประกาศบัญชีรายชื่อผู้ผ่านการเลือกสรรพนักงานราชการทั่วไป
5 ก.พ.63(21 วัน) อ่าน 173 ครั้ง
บริษัทความปลอดภัยไซเบอร์ตรวจสอบระบบไอทีสนามบิน 100 แห่ง มีเพียง 3 แห่งที่ผ่านมาตรฐาน
4 ก.พ.63(21 วัน) อ่าน 18 ครั้ง
ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี
4 ก.พ.63(21 วัน) อ่าน 10 ครั้ง
พบช่องโหว่บน Microsoft Azure Stack เสี่ยงถูกแฮ็กเกอร์เข้าควบคุม Cloud Servers บนนั้นได้
4 ก.พ.63(21 วัน) อ่าน 10 ครั้ง
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า
3 ก.พ.63(23 วัน) อ่าน 15 ครั้ง
พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต
30 ม.ค.63(27 วัน) อ่าน 16 ครั้ง