圖片來源: 

Palo Alto Networks

鎖定特定廠牌NAS設備的勒索軟體攻擊,最近2到3年來陸續傳出數起事故,當中不少是針對臺灣廠商威聯通科技(QNAP)、群暉科技(Synology)的NAS設備而來,但近期較新的勒索軟體,開始具備能同時對於不同廠牌設備發動攻擊的能力。

在8月10日,資安業者Palo Alto Networks揭露新的eCh0raix(亦被稱為QNAPCrypt)勒索軟體變種,他們指出,其與過往eCh0raix最大差異,就是能同時針對威聯通與群暉的NAS發動攻擊。以往的eCh0raix,曾多次攻擊威聯通NAS,也一度於2019年轉而對群暉NAS下手。Palo Alto Networks指出,同時可攻擊威聯通和群暉NAS的eCh0raix,最早可能在2020年9月就出現。

而在2021年被揭露的eCh0raix,究竟有多少臺NAS可能成為攻擊目標?Palo Alto根據自家威脅情資指出,以曝露在網際網路的兩家廠商設備來看,約有24萬臺的威聯通NAS,以及3,500臺的群暉NAS,而可能成為這一波攻擊目標。

針對此事的狀況與因應之道,在截稿(8月11日下午7時30分)之前,威聯通和群暉皆尚未發出公告。

透過漏洞濫用,以及帳號暴力破解等方式入侵NAS

對於本次新變種勒索軟體的攻擊手法,Palo Alto表示,攻擊者分別對於兩個廠牌的設備,利用了漏洞攻擊與暴力破解的方式入侵。

針對威聯通NAS的部分,eCh0raix主要是濫用今年4月下旬修補的漏洞CVE-2021-28799,該漏洞存在於災害復原模組Hybrid Backup Sync(HBS 3),當時引發了另一款勒索軟體Qlocker大規模感染的攻擊事故

至於這款eCh0raix如何入侵群暉的NAS裝置,並加密檔案?Palo Alto指出,該勒索軟體藉由嘗試常用的管理員密碼,來企圖存取該廠牌設備。

針對此次攻擊,Palo Alto提供了入侵指標(IOC),亦呼籲用戶要更新韌體、採用複雜的密碼,並且限縮能夠存取NAS的管道,最好僅允許特定IP位址的裝置才能連線。

鎖定小型企業NAS的攻擊加劇

勒索軟體eCh0raix鎖定NAS發動攻擊,已有前例,最早約於2016年出現。Palo Alto指出,在本次揭露的勒索軟體出現之前,攻擊者是針對不同廠牌的NAS,採用個別的程式碼基礎(Codebase)來開發勒索軟體。

其中,針對威聯通NAS發動的攻擊,迄今已有數次,其中較為重大的事故,分別發生於2019年6月,以及2020年6月,先後攻擊者是透過暴力破解和作業系統漏洞,入侵NAS來植入勒索軟體。

而對於群暉的NAS,該勒索軟體也在2019年有發動攻擊的記錄,他們運用帳號暴力破解的方式,入侵該廠牌設備。

本次的eCh0raix變種勒索軟體,結合了攻擊兩種廠牌NAS的能力,所代表的意義為何?這代表了攻擊者的能力更為強大,且這些廠牌的用戶都可能會受害,而無法抱存僥倖的心理,必須落實相關安全措施來加以防範。

熱門新聞

Advertisement