»
»
Ransomware, la nuova variante per attaccare Pmi, liberi professionisti e autonomi
Cosa fare per difendersi

Ransomware, la nuova variante per attaccare Pmi, liberi professionisti e autonomi

di |
Ransomware, la nuova variante per attaccare Pmi, liberi professionisti e autonomi Cybersecurity

I cyber-criminali provano a colpire questo target con la nuova variante del ransomware “eCh0raix". Il riscatto è coerente con i profitti.

Non solo istituzioni (Regione Lazio) e grandi aziende (Erg, Salini ed Accenture), per citare gli ultimi casi di attacchi ransomware, ma nel mirino dei criminali informatici ci sono anche le piccole e medie imprese, i liberi professionisti e lavoratori autonomi. 

Ransomware, la una nuova variante per attaccare Pmi, liberi professionisti e autonomi

Provano a colpire quest’ultimo target con la nuova variante del ransomware “eCh0raix”, che attacca sia i dispositivi NAS (Network-Attached Storage) Synology sia QNAP (Quality Network Appliance Provider).

Questi tipi di ransomware sono appositamente predisposti per prendere di mira le piccole aziende, i liberi professionisti e i lavoratori autonomi, e chiedono un riscatto il cui ammontare è coerente con le piccole dimensioni delle realtà attaccate.

Il rischio

La stima d’impatto delle vulnerabilità sulla comunità di riferimento: è meglio/giallo (64,07/100)1.

Descrizione e potenziali impatti 

I ricercatori della Unit 42 di PaloAlto Networks hanno individuato una nuova variante del ransomware eCh0raix che, a differenza delle precedenti, prende di mira sia i dispositivi NAS (Network-Attached Storage) Synology che QNAP (Quality Network Appliance Provider).

L’attacco rilevato viene portato a termine, nel caso di QNAP, sfruttando la vulnerabilità critica (tracciata dalla CVE-2021-28799 e risolta nell’aprile 2021) che è causata da un’errata implementazione delle autorizzazioni e interessa il software HBS 3 (Hybrid Backup Sync.) di QNAP NAS. Nel caso di Synology, invece, gli attori malevoli distribuiscono il ransomware in seguito a un attacco di tipo brute-force precedentemente andato a buon fine e mirato a ottenere credenziali di utenti amministratori.

Prodotti e versioni affette

QNAP 

  • QTS 4.5.2: HBS 3 versioni precedenti alla 16.0.0415
  • QTS 4.3.6: HBS 3 versioni precedenti alla 3.0.210412
  • QTS 4.3.3 and 4.3.4: HBS 3 versioni precedenti alla 3.0.210411
  • QuTS hero h4.5.1: HBS 3 versioni precedenti alla 16.0.0419
  • QuTScloud c4.5.1~c4.5.4: HBS 3 versioni precedenti alla 16.0.0419

Azioni di mitigazione

In linea con le dichiarazioni del vendor QNAP, si consiglia di aggiornare HBS 3 all’ultima versione disponibile, come indicato nel relativo bollettino di sicurezza disponibile nella sezione Riferimenti.

Il vendor Synology consiglia a tutti gli amministratori di esaminare i propri sistemi alla ricerca di credenziali amministrative deboli, di abilitare il blocco automatico di protezione dell’account e, ove possibile, l’autenticazione a più fattori.

Si consiglia inoltre di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.

Riferimenti

https://unit42.paloaltonetworks.com/ech0raix-ransomware-soho/

https://www.qnap.com/en-us/security-advisory/qsa-21-13

https://www.synology.com/en-global/company/news/article/BruteForce/Synology%C2%AE%20Investigates%20Ongoing%20Brute-Force%20Attacks%20From%20Botnet

https://kb.synology.com/it-it/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS

L'autore

Redazione Key4biz

Redazione Key4biz

Condividi: