eCh0raix勒索軟體鎖定威聯通與群暉NAS發動攻擊 - iThome

... 不少是針對臺灣廠商威聯通科技（QNAP）、群暉科技（Synology）的NAS設備 ... 以往的eCh0raix，曾多次攻擊威聯通NAS，也一度於2019年轉而對群暉NAS ... 移至主內容 文/周峻佑 | 2021-08-11發表 圖片來源: PaloAltoNetworks 鎖定特定廠牌NAS設備的勒索軟體攻擊，最近2到3年來陸續傳出數起事故，當中不少是針對臺灣廠商威聯通科技（QNAP）、群暉科技（Synology）的NAS設備而來，但近期較新的勒索軟體，開始具備能同時對於不同廠牌設備發動攻擊的能力。

在8月10日，資安業者PaloAltoNetworks揭露新的eCh0raix（亦被稱為QNAPCrypt）勒索軟體變種，他們指出，其與過往eCh0raix最大差異，就是能同時針對威聯通與群暉的NAS發動攻擊。

以往的eCh0raix，曾多次攻擊威聯通NAS，也一度於2019年轉而對群暉NAS下手。

PaloAltoNetworks指出，同時可攻擊威聯通和群暉NAS的eCh0raix，最早可能在2020年9月就出現。

而在2021年被揭露的eCh0raix，究竟有多少臺NAS可能成為攻擊目標？PaloAlto根據自家威脅情資指出，以曝露在網際網路的兩家廠商設備來看，約有24萬臺的威聯通NAS，以及3,500臺的群暉NAS，而可能成為這一波攻擊目標。

針對此事的狀況與因應之道，在截稿（8月11日下午7時30分）之前，威聯通和群暉皆尚未發出公告。

透過漏洞濫用，以及帳號暴力破解等方式入侵NAS 對於本次新變種勒索軟體的攻擊手法，PaloAlto表示，攻擊者分別對於兩個廠牌的設備，利用了漏洞攻擊與暴力破解的方式入侵。

針對威聯通NAS的部分，eCh0raix主要是濫用今年4月下旬修補的漏洞CVE-2021-28799，該漏洞存在於災害復原模組HybridBackupSync（HBS3），當時引發了另一款勒索軟體Qlocker大規模感染的攻擊事故。

至於這款eCh0raix如何入侵群暉的NAS裝置，並加密檔案？PaloAlto指出，該勒索軟體藉由嘗試常用的管理員密碼，來企圖存取該廠牌設備。

針對此次攻擊，PaloAlto提供了入侵指標（IOC），亦呼籲用戶要更新韌體、採用複雜的密碼，並且限縮能夠存取NAS的管道，最好僅允許特定IP位址的裝置才能連線。

鎖定小型企業NAS的攻擊加劇 勒索軟體eCh0raix鎖定NAS發動攻擊，已有前例，最早約於2016年出現。

PaloAlto指出，在本次揭露的勒索軟體出現之前，攻擊者是針對不同廠牌的NAS，採用個別的程式碼基礎（Codebase）來開發勒索軟體。

其中，針對威聯通NAS發動的攻擊，迄今已有數次，其中較為重大的事故，分別發生於2019年6月，以及2020年6月，先後攻擊者是透過暴力破解和作業系統漏洞，入侵NAS來植入勒索軟體。

而對於群暉的NAS，該勒索軟體也在2019年有發動攻擊的記錄，他們運用帳號暴力破解的方式，入侵該廠牌設備。

本次的eCh0raix變種勒索軟體，結合了攻擊兩種廠牌NAS的能力，所代表的意義為何？這代表了攻擊者的能力更為強大，且這些廠牌的用戶都可能會受害，而無法抱存僥倖的心理，必須落實相關安全措施來加以防範。

iThomeSecurity 熱門新聞 假帳號太少，馬斯克暫緩收購推特 2022-05-14 UST與姐妹幣Luna一周內價值下挫9成 2022-05-13 【資安週報】2022年5月9日至13日 2022-05-15 【資安日報】2022年5月13日，後門程式BPFDoor鎖定Linux與Solaris電腦而來、Zyxel修補防火牆遠端命令注入漏洞 2022-05-13 合勤修補多個防火牆裝置的安全漏洞 2022-05-14 跡象顯示勒索軟體REvil駭客組織復活 2022-05-13 SAS推3大解決方案攻醫療、能源和廣告，還聯手數位分身廠商要研擬碳排模擬系統 2022-05-13 Google推出Android13第二個測試版，優化大螢幕體驗，並增強隱私權及個人化功能 2022-05-13 Advertisement iThomeSecurity 專題報導 解放政府行動力 DPU走入企業應用 如何當一個稱職的資安長？ 友達數位製造轉型大解密 醫療HIS微服務化大改造 更多專題報導