mercoledì 13 settembre 2017

Ransomware su QNap

Un paio di giorni fa e' successa una cosa strana (o meglio imprevista)

Accedendo ai dati dati aziendali di backup posti su una unita' QNap, questi risultavano compromessi (o meglio criptati) e nella migliore tradizione dei ransomware era presente la seguente richiesta di riscatto

questo il contenuto del file  ### DECRYPT MY FILES ###.txt.

 ------------------------------
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software – «Nemesis decryptor»
You can find out the details / buy decryptor + key / ask questions by email: al-capone@mortalkombat.su
Your personal ID: 68XXXXXX
------------------------------


il nome del file e' stato modificato come segue

luca.ext in luca.ext.id_68xxxxx_[al-capone@mortalkombat.su].wfg65

avendo su un backup il file originale e' possibile vedere che l'aumento di dimensione del file e' esiguo (passando da 961.224 byte a 961.260 byte)

gli ultimi 5 caratteri dell'estensione sono casuali
Utilizzando un servizio on line e' possibile verificare(con questo servizio) che il ransomware e' una variante di CryptOn(Nemesis) conosciuta come Crypt36 ed al momento non sembra esserci una chiave di decrittazione pubblica


e fino a qui niente di nuovo...e' abbastanza chiara anche la variante del ransomware su cui si ha a che fare
La cosa veramente curiosa e' che nessuno dei PC che accedevano al QNap risultava avere problemi di sorta...normalmente i ransomware criptano i dati del PC e di tutte le condivisioni a cui ha accesso ... non in questo caso


Guardando i bollettini di sicurezza e sapendo che il QNap era esposto su Internet e' saltato fuori il bollettino CVE-2017-7494 su una vulnerabilita' di Samba (su QNap gira un sistema operativo derivato Linux con Samba) che permette l'esecuzione di codice arbitrario...e' tale la similitudine con WannaCry che e' stata soprannominata SambaCry)

Conoscendo le (scarse) competenze del responsabile dell'unita', non ho dubbi che ci fosse una condivisione in scrittura esposta su Internet

Peraltro ho trovato un documento recente su altre vulnerabilita' di un firmware recente (https://safeandsavvy.f-secure.com/2017/04/12/new-nas-vulnerabilities-are-pretty-much-as-bad-as-they-get/)


  
-
Etichette: ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)

Sigaretta Elettronica

Avevo visto qualche tempo fa un documentario sulla RAI Svizzera sul carico inquinante delle sigarette elettroniche monouso Ne ho trovata una...