به گزارش گروهی از محققان، نوع جدیدی از باجافزارها دستگاههای ذخیرهسازی متصل به شبکه (NAS) مبتنیبر لینوکس ساختهشده توسط شرکت تایوانی QNAP Systems را هدف قرار داده و تا زمان پرداخت باج، اطلاعات مهم کاربران را نزد خود نگه میدارد. دستگاههای ذخیرهسازی متصل به شبکه که برای کسبوکارهای خانگی و کوچک ایدهآل هستند، با ذخیرهسازی اختصاصی فایلها با اتصال به یک شبکه یا از طریق اینترنت به کاربران امکان میدهند تا دادهها و پشتیبانهای خود را بر روی چندین کامپیوتر ذخیره کرده و به اشتراک بگذارند.
محققان دو شرکت امنیتی Intezer و Anomali بهطور جداگانه کشف کردهاند که نوع جدیدی از باجافزارها، سرورهای دستگاههای ذخیرهسازی متصل به شبکهی شرکت QNAP را که محافظت ضعیفی داشته و یا آسیبپذیر هستند، از طریق انجام حملات جستجوی فراگیر با گواهینامههای پوستهی امن (SSH) ضعیف و یا بهرهبرداری از آسیبپذیریهای شناختهشده، مورد هدف قرار میدهند. این باجافزار که توسط شرکت Intezer با نام «QNAPCrypt» و توسط شرکت Anomali با نام «eCh0raix» معرفی شده است، با استفاده از زبان برنامهنویسی Go نوشته شده و فایلهای دارای پسوند هدف را با استفاده از الگوریتم رمزنگاری AES و با افزودن پسوند encrypt. به هر کدام از آنها قفل میکند. بااینحال، اگر یک دستگاه ذخیرهسازی متصل به شبکهی آسیبدیده در هر کدام از کشورهای بلاروس، اوکراین یا روسیه قرار داشته باشد، باجافزار فرایند رمزنگاری فایلها را خاتمه داده و بدون هیچگونه آسیبی به آنها از سیستم خارج میشود.
پس از آلودهشدن سیستم هدف و رمزنگاریشدن فایلها، باجافزار در ابتدا با استفاده از پروکسی SOCKS5 شبکهی تور (Tor) به سرور دستور و کنترل راه دور خود که در پشت این شبکه محافظت میشود، متصل میگردد تا به مهاجمان در مورد قربانیان جدید اطلاع دهد. به گفتهی محققان شرکت Anomali، تجزیهوتحلیلهای صورتگرفته نشان میدهند که این پروکسی توسط نویسندهی بدافزار و بهمنظور دسترسی آن به شبکهی تور، بدون استفاده از قابلیتهای این شبکه در باجافزار تنظیم شده است. باجافزار پیش از رمزنگاری فایلها، یک آدرس کیف پول بیتکوین منحصربهفرد را درخواست میکند. سپس، قربانیان میبایست مقدار باج تعیینشده را به آدرسهای بیتکوینی که پیش از این فهرست آنها بر روی سرور دستور و کنترل مهاجم قرار گرفته است، انتقال دهند.
درصورتیکه سرور دیگر به آدرس بیتکوین منحصربهفردی دسترسی نداشته باشد، باجافزار رمزنگاری فایلها را ادامه نداده و منتظر میماند تا آدرس جدیدی ایجاد و ارائه شود. محققان شرکت Intezer توانستند با استفاده از این مکانیزم و ایجاد یک اسکریپت، کیفهای پول موجود را از طریق سرور دستور و کنترل مهاجم به صدها قربانی مجازی اختصاص داده و به این ترتیب، از رمزنگاری فایلهای قربانیان واقعی جدید توسط باجافزار جلوگیری کنند.
به گفتهی این محققان، از آنجاییکه نویسندگان این باجافزار، به هرکدام از قربانیان یک کیف پول بیتکوین منحصربهفرد را تحویل میدهند، میتوان با تکثیر بستههای آلودهشده تمامی کیفهای پول را بازیابی کرد، تا جاییکه دیگر هیچ کیف پولی تحت کنترل آنها نباشد. به این ترتیب، محققان این شرکت امنیتی توانستند درمجموع ۱۰۹۱ کیف پول منحصربهفرد را که میان قربانیان جدید ۱۵ کمپین مختلف توزیع شده بودند، جمعآوری کنند. ازسوی دیگر، درصورت دسترسی باجافزار به این آدرس بیتکوین منحصربهفرد، بهمنظور ایجاد یک کلید مخفی AES-256، یک رشتهی تصادفی ۳۲ کاراکتری ایجاد کرده و سپس آن را برای رمزنگاری تمام فایلهای ذخیرهشده در دستگاه ذخیرهسازی متصل به شبکهی هدف با استفاده از الگوریتم AES در مد بازخورد رمز (CFB) و درنهایت، حذف فایلهای اصلی بهکار میگیرد.
به گفتهی شرکت Anomali، از آنجایی که ماژول رمزنگاری این باجافزار از یک بستهی ریاضی برای ایجاد کلید مخفی استفاده کرده و صفحهی تصادفی ریاضی را نیز با تغذیهی (seed) زمان فعلی راهاندازی میکند، احتمال نوشتن یک رمزگشا برای این نوع باجافزار توسط محققان وجود دارد؛ چراکه این تابع کاملا تصادفی نیست.
همانطورکه پیش از این نیز اشاره شد، این باجافزار دستگاههای ذخیرهسازی متصل به شبکهی تولیدشده توسط شرکت QNAP را که برای ذخیرهسازی فایلها و پشتیبانگیری استفاده میشوند، مورد هدف قرار میدهند. معمولا بر روی این دستگاهها محصولات آنتیویروس اجرا نمیشود و درحالحاضر، این نمونهها تنها با دو یا سه محصول سرویس VirusTotal گوگل شناسایی شدهاند. این موضوع نشان میدهد که باجافزار QNAPCrypt بهراحتی میتواند بر روی این دستگاهها اجرا شود. محققان همچنین اشاره کردند که این باجافزار پیش از رمزنگاری فایلهای ذخیرهشده بر روی دستگاههای هدف، تلاش میکند تا برخی از فرایندهای خاص از جمله apache2، httpd، nginx، MySQL، mysql و PostgreSQL را نیز متوقف نماید.
حال، محققان امنیتی به کاربران توصیه میکنند تا بهصورت ناآگاهانه و یا غیرضروری دستگاههای ذخیرهسازی متصل به شبکهی خود را به اینترنت متصل نکرده و بهروزرسانیهای خودکار را نیز برای ثابتافزارهای خود فعال نمایند. علاوهبراین، به کاربران همواره توصیه میشود از رمزهای عبور قوی برای امنیت دستگاههای خود استفاده کرده و بهطور منظم از اطلاعات ذخیرهشده بر روی این دستگاهها پشتیبانگیری کنند، بهطوریکه درصورت بروز هرگونه فاجعه، بتوان اطلاعات مهم را بدون پرداخت هزینه به مهاجمان بازیابی کرد.