[情報] eCh0raix勒索軟體鎖定威聯通與群暉NAS發

看板PC_Shopping (個人電腦購買)作者hn9480412 (ilinker)時間4年前 (2021/08/12 00:17)推噓9(9推 0噓 13→)

留言22則, 13人參與討論串1/1

eCh0raix勒索軟體鎖定威聯通與群暉NAS發動攻擊，25萬臺設備恐成目標文/周峻佑 | 2021-08-11發表鎖定特定廠牌NAS設備的勒索軟體攻擊，最近2到3年來陸續傳出數起事故，當中不少是針對臺灣廠商威聯通科技（QNAP）、群暉科技（Synology）的NAS設備而來，但近期較新的勒索軟體，開始具備能同時對於不同廠牌設備發動攻擊的能力。在8月10日，資安業者Palo Alto Networks揭露新的eCh0raix（亦被稱為QNAPCrypt）勒索軟體變種，並指出新版本與過往eCh0raix最大的差異，就是首度能同時針對威聯通與群暉的NAS發動攻擊。以往的eCh0raix曾攻擊威聯通NAS數次，並曾一度於2019年對群暉NAS下手。該公司指出，同時可攻擊威聯通和群暉NAS的eCh0raix，最早可能在2020年9月就出現。而在在2021年被揭露的eCh0raix，究竟有多少NAS會成為攻擊目標？Palo Alto根據自家 Cortex Xpanse威脅情資平臺收集的情報指出，他們看到約有25萬臺威聯通與群暉的NAS設備，曝露在網際網路上，而可能成為這一波的攻擊目標。在截稿（2021年8月11日下午7時 30分）之前，威聯通和群暉皆尚未針對此事發出公告。混合漏洞濫用與暴力破解的管道入侵對於本次新變種勒索軟體的攻擊手法，Palo Alto表示，攻擊者分別對於兩個廠牌的設備，利用了漏洞攻擊與暴力破解的方式入侵。針對威聯通NAS的部分，eCh0raix主要是濫用今年4月下旬修補的漏洞CVE-2021-28799，該漏洞存在於災害復原模組Hybrid Backup Sync（HBS 3），當時引發了另一款勒索軟體 Qlocker大規模感染的攻擊事故。至於這款eCh0raix如何入侵群暉的NAS裝置，並加密檔案？Palo Alto指出，該勒索軟體藉由嘗試常用的管理員密碼，來企圖存取該廠牌設備。針對此次攻擊，Palo Alto提供了入侵指標（IOC），亦呼籲用戶要更新韌體、採用複雜的密碼，並且限縮能夠存取NAS的管道，最好僅允許特定IP位址的裝置才能連線。鎖定小型企業NAS的攻擊加劇勒索軟體eCh0raix鎖定NAS發動攻擊，已有多次記錄。最早約於2016年出現，Palo Alto指出，在本次揭露的勒索軟體出現之前，攻擊者是針對不同廠牌的NAS，採用個別的程式碼基礎（Codebase）來開發勒索軟體。其中，針對威聯通NAS發動的攻擊，迄今已有數次，其中較為重大的事故，分別發生於2019 年6月，以及2020年6月，先後攻擊者是透過暴力破解和作業系統漏洞，入侵NAS來植入勒索軟體。而對於群暉的NAS，該勒索軟體也在2019年有發動攻擊的記錄，攻擊者以暴力破解的方式入侵該廠牌設備。本次的eCh0raix變種勒索軟體，結合了攻擊兩種廠牌NAS的能力，所代表的意義為何？這代表了攻擊者的能力更為強大，且這些廠牌的用戶都可能無法抱存僥倖的心理，必須落實相關安全措施來加以防範。 https://www.ithome.com.tw/news/146141 --

推

WARgame723

08/23 08:13,

08/23 08:13

→

WARgame723

08/23 08:13,

08/23 08:13

推

SungHyun

08/23 08:18,

08/23 08:18