Η εταιρεία Synology, κατασκευαστής NAS με έδρα την Ταϊβάν, προειδοποίησε τους πελάτες ότι το botnet StealthWorker στοχεύει τις συσκευές αποθήκευσης που είναι συνδεδεμένες στο δίκτυο σε συνεχείς επιθέσεις bruteforce που οδηγούν σε μολύνσεις ransomware.
Σύμφωνα με την PSIRT (Product Security Incident Response Team) της Synology, οι συσκευές Synology NAS που παραβιάστηκαν σε αυτές τις επιθέσεις χρησιμοποιούνται αργότερα σε περαιτέρω προσπάθειες παραβίασης περισσότερων συστημάτων Linux.
‘Αυτές οι επιθέσεις αξιοποιούν έναν αριθμό ήδη μολυσμένων συσκευών για να δοκιμάσουν και να μαντέψουν κοινά διαχειριστικά διαπιστευτήρια και, εάν είναι επιτυχείς, θα έχουν πρόσβαση στο σύστημα για να εγκαταστήσουν το κακόβουλο payload, το οποίο μπορεί να περιλαμβάνει ransomware’, ανέφερε η Synology σε ανακοίνωση.
‘Οι συσκευές που έχουν μολυνθεί ενδέχεται να πραγματοποιήσουν επιθέσεις σε άλλες συσκευές που βασίζονται σε Linux, συμπεριλαμβανομένων Synology NAS συσκευών.’
Η εταιρεία συνεγάζεται με πολλούς οργανισμούς CERT παγκοσμίως για να ρίξει την υποδομή του botnet κλείνοντας όλους τους εντοπισμένους C2 server του.
Η Synology εργάζεται για την ειδοποίηση όλων των δυνητικά επηρεαζόμενων πελατών για αυτές τις συνεχείς επιθέσεις που στοχεύουν στις συσκευές NAS τους.
Η Synology παροτρύνει όλους τους διαχειριστές και τους πελάτες του συστήματος να αλλάξουν τα default διαχειριστικά διαπιστευτήρια στα συστήματά τους, να ενεργοποιήσουν την προστασία λογαριασμού και τον αυτόματο αποκλεισμό και να χρησιμοποιήσουν 2FA έλεγχο όπου είναι δυνατόν.
Η Synology σπάνια εκδίδει συμβουλές ασφαλείας προειδοποιώντας για ενεργές επιθέσεις εναντίον των πελατών της. Η τελευταία προειδοποίηση σχετικά με ransomware δημοσιεύτηκε τον Ιούλιο του 2019.
Ενημέρωση 10 Αυγούστου: Ένας εκπρόσωπος της Synology έστειλε στο BleepingComputer την ακόλουθη δήλωση:
Αρχικά μάθαμε αυτήν την επίθεση στα τέλη Ιουλίου. Μέσα σε 2-3 εβδομάδες από τότε λάβαμε κάτω από 50 αναφορές από τους πελάτες μας. Λαμβάνοντας υπόψη τον αριθμό των συσκευών Synology (πάνω από 8 εκατομμύρια), πιστεύουμε ότι ο αριθμός των συσκευών που εκτίθενται σε αυτήν την επίθεση είναι πολύ χαμηλός. Η ομάδα μας έχει επίσης παρατηρήσει μια επιβράδυνση σε αυτές τις επιθέσεις τις τελευταίες ημέρες.
Σε αυτό το σημείο, ερευνούμε ακόμη ενεργά αυτήν την επίθεση κακόβουλου λογισμικού. Προς το παρόν, πιστεύουμε ότι το botnet εμπλέκεται σε bruteforce του λογαριασμού ‘administrator’ χρησιμοποιώντας κοινούς συνδυασμούς κωδικών πρόσβασης. Προς το παρόν δεν έχουμε δει το κακόβουλο λογισμικό να προσπαθεί να στοχεύσει άλλους λογαριασμούς χρηστών.
Όπως αναφέρθηκε προηγουμένως, οι πελάτες μας ανέφεραν για πρώτη φορά αυτήν την επίθεση στα τέλη Ιουλίου. Έκτοτε στείλαμε μια ειδοποίηση στους επηρεαζόμενους πελάτες και στείλαμε μια επιπλέον ειδοποίηση σε όλους τους χρήστες της Synology που τους συμβουλεύει για τις βέλτιστες πρακτικές και συμβουλές μας για τον τρόπο ασφάλειας του NAS τους.
Με πληροφορίες από bleepingcomputer.com
