Le rançongiciel eCh0raix cible les NAS QNAP

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3995
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Le rançongiciel eCh0raix cible les NAS QNAP

Message par charles » 11 juil. 2019 14:51

D'après le rapport publié par les chercheurs de Anomali, eCh0raix aurait, dans les attaques observées réalisé un brut force pour s'authentifier sur les serveurs QNAP ou exploité des vulnérabilités connues. D'après les chercheurs, les attaques observées seraient des attaques ciblées.

QNAP fournit une liste d'étapes qui pourraient permettre aux victimes de rançongiciels de récupérer leurs données si la fonction d'instantané par bloc :
https://www.qnap.com/solution/ransomware/en-us/

Le rapport est intéressant, il indique que ce rançongiciel utilise un proxy SOCKS afin de se connecter au serveur C2 positionné sur le réseau TOR.
Il indiqué également que eCh0raix va tenter de rendre inutilisable le serveur Web permettant l'administration du NAS, en s'attaquant aux processus suivants :

Code : Tout sélectionner

apache2
httpd
nginx
mysqld
mysqd
php-fpm
Il va également tenter de chiffrer les fichiers et répertoires suivants :

Code : Tout sélectionner

/proc
/boot/
/sys/
/run/
/dev/
/etc/
/home/httpd /home/httpd
/mnt/ext/opt
.system/thumbnail
.system/opt
.config
.qpkg.
Pour plus de détails et des IOCs :

https://www.anomali.com/blog/the-ech0raix-ransomware

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »