当心数据丢失!新的勒索软件eCh0raix现在针对QNAP和Synology NAS设备

223 阅读4分钟

一个新发现的eCh0raix勒索软件变体增加了对QNAP和Synology网络附加存储(NAS)设备加密的支持。

这种勒索软件(也被称为QNAPCrypt)于2016年6月首次出现,该勒索软件在多波袭击QNAP NAS设备,在2019年6月和2020年6月报道了两起大规模袭击。

ec0raix还在2019年对Synology生产的设备进行了加密,Anomali的研究人员发现,攻击者使用默认凭据或字典攻击来暴力强制管理员凭据。

当时,NAS制造商警告其客户保护他们的数据免受正在进行的大规模勒索软件的攻击。不过,该公司并没有指明是哪个勒索软件实施了这些攻击。

针对Synology和QNAP的客户设定目标

虽然过去在不同的活动中针对QNAP和Synology设备,但Palo Alto Networks的Unit 42安全研究人员在今天发表的一份报告中表示,eCh0raix从2020年9月开始捆绑功能,加密两个NAS家族。

“在那之前,攻击者可能有针对每个供应商设备的活动的独立代码库,”Unit 42说。

他们进一步透露,勒索软件运营商利用CVE-2021-28799(一个漏洞,让攻击者可以访问硬编码凭证,也就是后门账户)加密QNAP设备——同样的漏洞在今年4月的大规模Qlocker活动中被滥用。

攻击者通过试图猜测常用的管理凭证(与上面提到的2019年Synology活动中使用的策略相同),强行进入Synology的NAS设备上发送勒索软件有效载荷。

尽管Synology没有直接将其与eCh0raix勒索软件连接,但它上周发布了一份安全建议,警告客户称,StealthWorker僵尸网络正在积极地对他们的数据进行暴力攻击,这可能会导致勒索软件感染。

QNAP还在5月份通知了客户有关eCh0raix勒索软件攻击的消息,而就在两周前,QNAP还警告客户,AgeLocker勒索软件正在爆发。

QNAP设备也受到了始于4月中旬的大规模Qlocker勒索软件的攻击,通过使用7zip开源文件归档程序锁定受害者的数据,威胁行骗者在短短5天内就赚取了26万美元。

至少250,000台NAS设备受到攻击

根据通过Palo Alto Networks的Cortex Xpanse平台收集的数据,至少有250,000台 QNAP和Synology NAS设备暴露在互联网上。

Unit 42 研究人员建议Synology和QNAP NAS所有者遵循以下最佳实践候选名单,以阻止针对其数据的勒索软件攻击:

更新设备固件以防止这种性质的攻击。有关针对CVE-2021-28799 更新 QNAP NAS 设备的详细信息,在QNAP网站可以查找。

创建复杂的登录密码,使攻击者更难进行暴力破解。

仅通过可识别IP的硬编码列表限制与SOHO连接设备的连接,以防止用于向设备传送勒索软件的网络攻击。

Unit 42表示正在发布有关eCh0raix新变体的调查结果,以提高人们对SOHO和小企业部门持续威胁的认识。

SOHO用户对希望攻击更大目标的勒索软件运营商很有吸引力,因为攻击者可能会使用 SOHO NAS设备作为对可能产生巨额赎金的大型企业的供应链攻击的垫脚石。”

总的来说,作为一个数据备份存储设备,NAS设备不但可以随时备份数据及资料,还能便捷访问访问流畅下载和浏览。随着人们对数据隐私要求越来越高,在很多人眼里NAS算得上一个不错的个人私有云,因此设备的安全性不言而喻。此前西部数据外置硬盘产品My Book Live因系统漏洞遭黑客攻击,导致一些用户一觉醒来数据被清除。随着社会和企业数字化转型,数据在其中发挥的作用至关重要。通过近来勒索攻击事件不难发现,数据已经成为犯罪分子用来进行勒索的筹码。软件安全是确保数据安全的基础,在软件开发当中建议将安全贯穿其整个流程,从开发初期利用静态代码安全检测查找运行时漏洞缺陷并修正,同时对软件进行安全测试以巩固系统的安全性,避免数据泄露事件发生。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

参读链接:

www.woocoom.com/b021.html?i…

www.bleepingcomputer.com/news/securi…