StorageCrypt Ransomware sử dụng lỗ hổng bảo mật SambaCry để lây nhiễm thiết bị NAS

Computer Security News

Chuyên gia an ninh đã tìm thấy rằng gia đình ransomware mới StorageCrypt là sử dụng khai thác SambaCry mà đã được vá trong tháng để lây nhiễm thiết bị NAS (network attached storage).

Để giải mã tập tin nạn nhân, những người sáng tạo của StorageCrypt ransomware cầu từ 0,4 đến 2 Bitcoins ($5,000 đến $25,000) chuộc thanh toán.

Khi lây nhiễm cho thiết bị NAS, StorageCrypt sử dụng lỗ hổng bảo mật Linux Samba được gọi là SambaCry và theo dõi như CVE-2017-7494.

Các lỗ hổng cho phép hacker từ xa thực thi mã tùy ý vào hệ thống nhắm mục tiêu bằng cách tải lên một thư viện được chia sẻ chia sẻ có thể ghi được, và làm cho máy chủ để tải thư viện đó.

Nỗ lực đầu tiên của lạm dụng lỗ hổng bảo mật SambaCry đã dẫn đến hệ thống nhắm mục tiêu bị nhiễm bệnh với một thợ mỏ cryptocurrency.

Mùa hè này, phần mềm độc hại SHELLBIND bắt đầu lạm dụng lỗ hổng để lây nhiễm thiết bị NAS.

Theo các nhà nghiên cứu bảo mật, StorageCrypt ransomware thúc đẩy SambaCry trong cùng một cách như SHELLBIND đã làm.

Cuộc tấn công cyber dựa vào khai thác thực hiện một lệnh để tải về một tập tin tên sambacry, storse nó trong thư mục/tmp như apaceha, và chạy nó sau đó.

Những gì còn lại không xác định tại thời điểm này mặc dù, là cho dù tập tin thực thi chỉ được sử dụng để cài đặt ransomware hoặc nó cũng phục vụ như một backdoor cho tấn công trong tương lai.

Được cài đặt trên điện thoại bị nhiễm, StorageCrypt ransomware mã hóa và đổi tên các tập tin, phụ thêm phần mở rộng .locked cho mỗi người trong số họ.

Sau đó, phần mềm độc hại giảm một ghi chú có chứa số tiền chuộc, địa chỉ Bitcoin là tin tặc, và địa chỉ email JeanRenoAParis@protonmail.com.

Ngoài ra, StorageCrypt ransomware đã được phát hiện rơi hai tập tin trên thiết bị NAS bị nhiễm – Autorun.inf và 美女与野兽.exe (mà dịch để làm đẹp và quái vật).

Các tập tin cũ là có nghĩa là để truyền bá file thực thi Windows vào máy các thư mục trên thiết bị NAS được truy cập từ.

Để giữ an toàn từ StorageCrypt hoặc phần mềm độc hại khác mà lạm dụng SambaCry, chuyên gia an ninh tư vấn cho người dùng để cài đặt các bản vá lỗi mới nhất trên máy tính của họ, cũng như để ngắt kết nối thiết bị NAS từ Internet.

Người dùng cũng nên xem xét việc thiết lập tường lửa và sử dụng VPN để truy cập vào các mạng đính kèm lưu trữ an toàn.


Leave a Reply

Your email address will not be published. Required fields are marked *