Nas-producent Synology waarschuwt dat er een sterke toename is van het aantal bruteforce-aanvallen op Synology-apparaten met behulp van het StealthWorker-botnet. Krijgt het botnet toegang tot een nas, dan wordt deze toegevoegd aan het botnet.

Synology

Volgens het Incident Responseteam van Synology, dat woensdag al een bericht uitstuurde over de risico van het botnet, heeft StealthWorker de pijlen gericht op nas-apparaten van Synology, maar gebruikt het voor zover bekend geen softwarekwetsbaarheden. Het botnet probeert met bruteforce-aanvallen veelvoorkomende adminwachtwoorden te raden om zo een apparaat binnen te komen. Als dat lukt, installeert het een kwaadaardige payload op een nas, die ook ransomware kan bevatten.

Besmette apparaten worden vervolgens gebuikt om meer aanvallen uit te voeren op andere Linux-apparaten. Synology is nog op zoek naar een manier om de botnet uit te schakelen, door de servers achter de malware te vinden.

Synology waarschuwt administrators dat ze extra moeten oppassen met het gebruik van makkelijk te raden wachtwoorden, dat ze autoblock en accountbescherming aan moeten zetten en als het kan tweestapsverificatie aan moeten zetten.

Het botnet StealthWorker is al langer actief, het werd in februari 2019 ontdekt door Malwarebytes. Toen was het botnet vooral gericht op webwinkels door content managementsystemen aan te vallen, met name Magento, phpMyAdmin en cPanel. Malwarebytes ontdekte toen al dat een deel van het malware speciaal gemaakt was voor bruteforce-aanvallen en er bot-communicatie was, wat de mogelijkheden voor een botnet suggereerde. Een maand later ontdekte FortiGuard Labs dat StealthWorker schakelde naar het uitvoeren van bruteforce-aanvallen op Linux- en Windows-apparaten.

Reacties mogelijk gemaakt door CComment