eCh0raix勒索軟體鎖定威聯通與群暉NAS發動攻擊，25萬臺設備恐成目標 文/周峻佑 | 2021-08-11發表 鎖定特定廠牌NAS設備的勒索軟體攻擊，最近2到3年來陸續傳出數起事故，當中不少是針對 臺灣廠商威聯通科技（QNAP）、群暉科技（Synology）的NAS設備而來，但近期較新的勒索 軟體，開始具備能同時對於不同廠牌設備發動攻擊的能力。 在8月10日，資安業者Palo Alto Networks揭露新的eCh0raix（亦被稱為QNAPCrypt）勒索 軟體變種，並指出新版本與過往eCh0raix最大的差異，就是首度能同時針對威聯通與群暉 的NAS發動攻擊。以往的eCh0raix曾攻擊威聯通NAS數次，並曾一度於2019年對群暉NAS下手 。該公司指出，同時可攻擊威聯通和群暉NAS的eCh0raix，最早可能在2020年9月就出現。 而在在2021年被揭露的eCh0raix，究竟有多少NAS會成為攻擊目標？Palo Alto根據自家 Cortex Xpanse威脅情資平臺收集的情報指出，他們看到約有25萬臺威聯通與群暉的NAS設 備，曝露在網際網路上，而可能成為這一波的攻擊目標。在截稿（2021年8月11日下午7時 30分）之前，威聯通和群暉皆尚未針對此事發出公告。 混合漏洞濫用與暴力破解的管道入侵 對於本次新變種勒索軟體的攻擊手法，Palo Alto表示，攻擊者分別對於兩個廠牌的設備， 利用了漏洞攻擊與暴力破解的方式入侵。 針對威聯通NAS的部分，eCh0raix主要是濫用今年4月下旬修補的漏洞CVE-2021-28799，該 漏洞存在於災害復原模組Hybrid Backup Sync（HBS 3），當時引發了另一款勒索軟體 Qlocker大規模感染的攻擊事故。 至於這款eCh0raix如何入侵群暉的NAS裝置，並加密檔案？Palo Alto指出，該勒索軟體藉 由嘗試常用的管理員密碼，來企圖存取該廠牌設備。 針對此次攻擊，Palo Alto提供了入侵指標（IOC），亦呼籲用戶要更新韌體、採用複雜的 密碼，並且限縮能夠存取NAS的管道，最好僅允許特定IP位址的裝置才能連線。 鎖定小型企業NAS的攻擊加劇 勒索軟體eCh0raix鎖定NAS發動攻擊，已有多次記錄。最早約於2016年出現，Palo Alto指 出，在本次揭露的勒索軟體出現之前，攻擊者是針對不同廠牌的NAS，採用個別的程式碼基 礎（Codebase）來開發勒索軟體。 其中，針對威聯通NAS發動的攻擊，迄今已有數次，其中較為重大的事故，分別發生於2019 年6月，以及2020年6月，先後攻擊者是透過暴力破解和作業系統漏洞，入侵NAS來植入勒索 軟體。 而對於群暉的NAS，該勒索軟體也在2019年有發動攻擊的記錄，攻擊者以暴力破解的方式入 侵該廠牌設備。 本次的eCh0raix變種勒索軟體，結合了攻擊兩種廠牌NAS的能力，所代表的意義為何？這代 表了攻擊者的能力更為強大，且這些廠牌的用戶都可能無法抱存僥倖的心理，必須落實相 關安全措施來加以防範。 https://www.ithome.com.tw/news/146141 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.53.191 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1628698621.A.27C.html