當(dāng)心數(shù)據(jù)丟失!新的勒索軟件eCh0raix現(xiàn)在針對QNAP和Synology NAS設(shè)備

一個新發(fā)現(xiàn)的eCh0raix勒索軟件變體增加了對QNAP和Synology網(wǎng)絡(luò)附加存儲(NAS)設(shè)備加密的支持。

這種勒索軟件(也被稱為QNAPCrypt)于2016年6月首次出現(xiàn)，該勒索軟件在多波襲擊QNAP NAS設(shè)備，在2019年6月和2020年6月報道了兩起大規(guī)模襲擊。

ec0raix還在2019年對Synology生產(chǎn)的設(shè)備進(jìn)行了加密，Anomali的研究人員發(fā)現(xiàn)，攻擊者使用默認(rèn)憑據(jù)或字典攻擊來暴力強(qiáng)制管理員憑據(jù)。

當(dāng)時，NAS制造商警告其客戶保護(hù)他們的數(shù)據(jù)免受正在進(jìn)行的大規(guī)模勒索軟件的攻擊。不過，該公司并沒有指明是哪個勒索軟件實施了這些攻擊。

針對Synology和QNAP的客戶設(shè)定目標(biāo)

雖然過去在不同的活動中針對QNAP和Synology設(shè)備，但Palo Alto Networks的Unit 42安全研究人員在今天發(fā)表的一份報告中表示，eCh0raix從2020年9月開始捆綁功能，加密兩個NAS家族。

“在那之前，攻擊者可能有針對每個供應(yīng)商設(shè)備的活動的獨立代碼庫，”Unit 42說。

他們進(jìn)一步透露，勒索軟件運營商利用CVE-2021-28799(一個漏洞，讓攻擊者可以訪問硬編碼憑證，也就是后門賬戶)加密QNAP設(shè)備——同樣的漏洞在今年4月的大規(guī)模Qlocker活動中被濫用。

攻擊者通過試圖猜測常用的管理憑證(與上面提到的2019年Synology活動中使用的策略相同)，強(qiáng)行進(jìn)入Synology的NAS設(shè)備上發(fā)送勒索軟件有效載荷。

盡管Synology沒有直接將其與eCh0raix勒索軟件連接，但它上周發(fā)布了一份安全建議，警告客戶稱，StealthWorker僵尸網(wǎng)絡(luò)正在積極地對他們的數(shù)據(jù)進(jìn)行暴力攻擊，這可能會導(dǎo)致勒索軟件感染。

QNAP還在5月份通知了客戶有關(guān)eCh0raix勒索軟件攻擊的消息，而就在兩周前，QNAP還警告客戶，AgeLocker勒索軟件正在爆發(fā)。

QNAP設(shè)備也受到了始于4月中旬的大規(guī)模Qlocker勒索軟件的攻擊，通過使用7zip開源文件歸檔程序鎖定受害者的數(shù)據(jù)，威脅行騙者在短短5天內(nèi)就賺取了26萬美元。

至少250,000臺NAS設(shè)備受到攻擊

根據(jù)通過Palo Alto Networks的Cortex Xpanse平臺收集的數(shù)據(jù)，至少有250,000臺 QNAP和Synology NAS設(shè)備暴露在互聯(lián)網(wǎng)上。

Unit 42 研究人員建議Synology和QNAP NAS所有者遵循以下最佳實踐候選名單，以阻止針對其數(shù)據(jù)的勒索軟件攻擊：

更新設(shè)備固件以防止這種性質(zhì)的攻擊。有關(guān)針對CVE-2021-28799 更新 QNAP NAS 設(shè)備的詳細(xì)信息，在QNAP網(wǎng)站可以查找。

創(chuàng)建復(fù)雜的登錄密碼，使攻擊者更難進(jìn)行暴力破解。

僅通過可識別IP的硬編碼列表限制與SOHO連接設(shè)備的連接，以防止用于向設(shè)備傳送勒索軟件的網(wǎng)絡(luò)攻擊。

Unit 42表示正在發(fā)布有關(guān)eCh0raix新變體的調(diào)查結(jié)果，以提高人們對SOHO和小企業(yè)部門持續(xù)威脅的認(rèn)識。

SOHO用戶對希望攻擊更大目標(biāo)的勒索軟件運營商很有吸引力，因為攻擊者可能會使用 SOHO NAS設(shè)備作為對可能產(chǎn)生巨額贖金的大型企業(yè)的供應(yīng)鏈攻擊的墊腳石?！?/p>

總的來說，作為一個數(shù)據(jù)備份存儲設(shè)備，NAS設(shè)備不但可以隨時備份數(shù)據(jù)及資料，還能便捷訪問訪問流暢下載和瀏覽。隨著人們對數(shù)據(jù)隱私要求越來越高，在很多人眼里NAS算得上一個不錯的個人私有云，因此設(shè)備的安全性不言而喻。此前西部數(shù)據(jù)外置硬盤產(chǎn)品My Book Live因系統(tǒng)漏洞遭黑客攻擊，導(dǎo)致一些用戶一覺醒來數(shù)據(jù)被清除。隨著社會和企業(yè)數(shù)字化轉(zhuǎn)型，數(shù)據(jù)在其中發(fā)揮的作用至關(guān)重要。通過近來勒索攻擊事件不難發(fā)現(xiàn)，數(shù)據(jù)已經(jīng)成為犯罪分子用來進(jìn)行勒索的籌碼。軟件安全是確保數(shù)據(jù)安全的基礎(chǔ)，在軟件開發(fā)當(dāng)中建議將安全貫穿其整個流程，從開發(fā)初期利用靜態(tài)代碼安全檢測查找運行時漏洞缺陷并修正，同時對軟件進(jìn)行安全測試以鞏固系統(tǒng)的安全性，避免數(shù)據(jù)泄露事件發(fā)生。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=f036e08ccdc6429f97337fa3da234dfb

https://www.bleepingcomputer.com/news/security/ech0raix-ransomware-now-targets-both-qnap-and-synology-nas-devices/