Контакты
Подписка
МЕНЮ
Контакты
Подписка

Вымогатель StorageCrypt атакует хранилища NAS, эксплуатируя проблему SambaCry

Вымогатель StorageCrypt атакует хранилища NAS, эксплуатируя проблему SambaCry

Вымогатель StorageCrypt атакует хранилища NAS, эксплуатируя проблему SambaCry


08.12.2017



Издание Bleeping Computer предупредило о появлении нового шифровальщика StorageCrypt, который атакует сетевые хранилища NAS (к примеру, Western Digital My Cloud), шифрует файлы и требует выкуп в размере от 0,4 до 2 биткоинов.

Для заражения NAS малварь использует RCE-баг в Samba, исправленный в мае 2017 года. Данная проблема имеет идентификатор CVE-2017-7494 и также известна под названием SambaCry. Уязвимость позволяет осуществить загрузку разделяемой библиотеки в хранилище, при условии, что запись разрешена. В итоге сервер загружает эту библиотеку и выполняет ее, что ведет прямиком к удаленному выполнению произвольного кода.

Напомню, что перед этим багом уязвимы устройства множества производителей, например, прошлым летом специалисты компании Rapid7 подсчитали, что в интернет "смотрят" более 104 000 машин с уязвимыми версиями Samba, а также SambaCry может создать проблемы роутерам, NAS и другим IoT-устройствам.

Ранее разработчики малвари уже пытались взять SambaCry на вооружение. Так, ИБ-специалисты уже обнаруживали бэкдор SHELLBIND, а до этого уязвимость эксплуатировал криптовалютный майнер EternalMiner.

ИБ-специалист и основатель Bleeping Computer Лоренс Абрамс (Lawrence Abrams) пишет, что StorageCrypt действует так же, как и его предшественники: вредонос эксплуатирует уязвимость, загружает на устройство файл sambacry, сохраняет его по адресу /tmp/apaceha и запускает. Пока не совсем ясно, используется ли данный файл только для установки вымогателя, или также является бэкдором, через который злоумышленники потом смогут получить доступ к зараженному девайсу.

Вымогатель шифрует все файлы, заменяя их расширение на .locked. Также в каждую директорию NAS помещаются файлы Autorun.inf и ?????.exe: таким образом злоумышленники пытаются распространить заражение дальше, на любого пользователя, который откроет какую-либо из зараженных директорий в сетевом хранилище.

Лоренс Абрамс в очередной раз напоминает, что лучшая защита от таких атак – своевременная установка обновлений (еще раз напомню, что проблему SambaCry устранили еще в мае 2017 года). Также Абрамс не рекомендует подключать устройства NAS к интернету напрямую. Лучше держать их за файрволом и настроить VPN.