[情報] eCh0raix勒索軟體鎖定威聯通與群暉NAS發

eCh0raix勒索軟體鎖定威聯通與群暉NAS發動攻擊，25萬臺設備恐成目標

文/周峻佑 | 2021-08-11發表

鎖定特定廠牌NAS設備的勒索軟體攻擊，最近2到3年來陸續傳出數起事故，當中不少是針對臺灣廠商威聯通科技（QNAP）、群暉科技（Synology）的NAS設備而來，但近期較新的勒索軟體，開始具備能同時對於不同廠牌設備發動攻擊的能力。

在8月10日，資安業者Palo Alto Networks揭露新的eCh0raix（亦被稱為QNAPCrypt）勒索軟體變種，並指出新版本與過往eCh0raix最大的差異，就是首度能同時針對威聯通與群暉的NAS發動攻擊。以往的eCh0raix曾攻擊威聯通NAS數次，並曾一度於2019年對群暉NAS下手。該公司指出，同時可攻擊威聯通和群暉NAS的eCh0raix，最早可能在2020年9月就出現。

而在在2021年被揭露的eCh0raix，究竟有多少NAS會成為攻擊目標？Palo Alto根據自家
Cortex Xpanse威脅情資平臺收集的情報指出，他們看到約有25萬臺威聯通與群暉的NAS設備，曝露在網際網路上，而可能成為這一波的攻擊目標。在截稿（2021年8月11日下午7時30分）之前，威聯通和群暉皆尚未針對此事發出公告。
混合漏洞濫用與暴力破解的管道入侵

對於本次新變種勒索軟體的攻擊手法，Palo Alto表示，攻擊者分別對於兩個廠牌的設備，利用了漏洞攻擊與暴力破解的方式入侵。

針對威聯通NAS的部分，eCh0raix主要是濫用今年4月下旬修補的漏洞CVE-2021-28799，該漏洞存在於災害復原模組Hybrid Backup Sync（HBS 3），當時引發了另一款勒索軟體
Qlocker大規模感染的攻擊事故。

至於這款eCh0raix如何入侵群暉的NAS裝置，並加密檔案？Palo Alto指出，該勒索軟體藉由嘗試常用的管理員密碼，來企圖存取該廠牌設備。

針對此次攻擊，Palo Alto提供了入侵指標（IOC），亦呼籲用戶要更新韌體、採用複雜的密碼，並且限縮能夠存取NAS的管道，最好僅允許特定IP位址的裝置才能連線。
鎖定小型企業NAS的攻擊加劇

勒索軟體eCh0raix鎖定NAS發動攻擊，已有多次記錄。最早約於2016年出現，Palo Alto指出，在本次揭露的勒索軟體出現之前，攻擊者是針對不同廠牌的NAS，採用個別的程式碼基礎（Codebase）來開發勒索軟體。

其中，針對威聯通NAS發動的攻擊，迄今已有數次，其中較為重大的事故，分別發生於2019年6月，以及2020年6月，先後攻擊者是透過暴力破解和作業系統漏洞，入侵NAS來植入勒索軟體。

而對於群暉的NAS，該勒索軟體也在2019年有發動攻擊的記錄，攻擊者以暴力破解的方式入侵該廠牌設備。

本次的eCh0raix變種勒索軟體，結合了攻擊兩種廠牌NAS的能力，所代表的意義為何？這代表了攻擊者的能力更為強大，且這些廠牌的用戶都可能無法抱存僥倖的心理，必須落實相關安全措施來加以防範。

https://www.ithome.com.tw/news/146141

--