锁定特定品牌NAS设备的勒索软件攻击,最近2到3年来陆续传出数起事故,其中不少是针对台湾厂商威联通科技(QNAP)、群晖科技(Synology)的NAS设备而来,但近期较新的勒索软件,开始具备能同时对于不同品牌设备发动攻击的能力。
在8月10日,安全企业Palo Alto Networks披露新的eCh0raix(也被称为QNAPCrypt)勒索软件变种,并指出新版本与以往eCh0raix最大的差异,就是首度能同时针对威联通与群晖的NAS发动攻击。以往的eCh0raix曾攻击威联通NAS数次,并曾一度于2019年对群晖NAS下手。该公司指出,同时可攻击威联通和群晖NAS的eCh0raix,最早可能在2020年9月就出现。
而在在2021年被披露的eCh0raix,究竟有多少NAS会成为攻击目标?Palo Alto根据自家Cortex Xpanse威胁情报资料平台收集的情报指出,他们看到约有25万台威联通与群晖的NAS设备,暴露在互联网上,而可能成为这一波的攻击目标。在截稿(2021年8月11日下午7时30分)之前,威联通和群晖皆尚未针对此事发出公告。
对于本次新变种勒索软件的攻击手法,Palo Alto表示,攻击者分别对于两个品牌的设备,利用了漏洞攻击与暴力破解的方式入侵。
针对威联通NAS的部分,eCh0raix主要是滥用今年4月下旬修补的漏洞CVE-2021-28799,该漏洞存在于灾害恢复模块Hybrid Backup Sync(HBS 3),当时引发了另一款勒索软件Qlocker大规模感染的攻击事故。
至于这款eCh0raix如何入侵群晖的NAS设备,并加密文件?Palo Alto指出,该勒索软件借由尝试常用的管理员密码,来企图访问该品牌设备。
针对此次攻击,Palo Alto提供了入侵指标(IOC),也呼吁用户要更新固件、采用复杂的密码,并且限缩能够访问NAS的渠道,最好仅允许特定IP地址的设备才能连接。
勒索软件eCh0raix锁定NAS发动攻击,已有多次记录。最早约于2016年出现,Palo Alto指出,在本次披露的勒索软件出现之前,攻击者是针对不同品牌的NAS,采用个别的程序代码基础(Codebase)来开发勒索软件。
其中,针对威联通NAS发动的攻击,迄今已有数次,其中较为重大的事故,分别发生于2019年6月,以及2020年6月,先后攻击者是通过暴力破解和操作系统漏洞,入侵NAS来植入勒索软件。
而对于群晖的NAS,该勒索软件也在2019年有发动攻击的记录,攻击者以暴力破解的方式入侵该品牌设备。
本次的eCh0raix变种勒索软件,结合了攻击两种品牌NAS的能力,所代表的意义为何?这代表了攻击者的能力更为强大,且这些品牌的用户都可能无法抱存侥幸的心理,必须落实相关安全措施来加以防范。