新一波 ech0raix 勒索軟件攻擊以 QNAP NAS 設備為目標

ech0raix 勒索軟件背后的威脅行為者的目標是 NAP 網絡附加存儲 (NAS) 設備。用戶在圣誕節前幾天報告了他們的設備遭到多次入侵。

據 BleepingComputer報道，自 12 月 20 日以來，論壇用戶報告攻擊加劇，針對這一特定威脅提交給ID 勒索軟件服務的分析從 12 月 19 日開始增加，并在 12 月 20 日達到峰值。

目前，尚不清楚攻擊者如何入侵 QNAP 設備，一些用戶聲稱攻擊者利用 Photo Station 軟件中的漏洞來入侵它們。

攻擊者首先在管理員組中創建一個用戶，然后用它來加密 NAS 的內容。

專家注意到，該活動背后的威脅行為者使用“.TXTT”擴展名錯誤地輸入了贖金票據的擴展名。

ech0raix 勒索軟件運營商要求贖金從 0.024（1,200 美元）提高到 0.06 比特幣（3,000 美元）。

“重要的是要注意，有一個免費的解密器可以用于使用較舊版本（2019 年 7 月 17 日之前）的 eCh0raix 勒索軟件鎖定的文件。但是，沒有免費的解決方案可以解密由惡意軟件的最新變體（版本 1.0.5 和 1.0.6）鎖定的數據。” 報告BleepingComputer。

8 月，eCh0raix 勒索軟件的新變種  開始感染臺灣供應商 QNAP 和 Synology 的網絡附加存儲 (NAS) 設備。

eCh0raix 勒索軟件至少自 2019 年以來一直活躍，當時安全公司 Intezer 和 Anomali 的電子專家分別發現了針對網絡附加存儲 (NAS) 設備的勒索軟件樣本。

NAS 服務器是黑客的特權目標，因為它們通常存儲大量數據。勒索軟件針對的是威聯通制造的保護不力或易受攻擊的 NAS 服務器，攻擊者利用已知漏洞或進行暴力攻擊。

該勒索軟件被 Intezer 跟蹤為“ QNAPCrypt ”和Anomali 的“ eCh0raix ”，是用 Go 編程語言編寫的，并使用 AES 加密來加密文件。惡意代碼將 .encrypt 擴展名附加到加密文件的文件名。

今年 5 月，QNAP 警告 客戶，威脅攻擊者正在利用eCh0raix 勒索軟件 攻擊其網絡附加存儲 (NAS) 設備 并利用 Roon Server 零日漏洞。

這家臺灣供應商被告知正在進行的 eCh0raix 勒索軟件攻擊使用弱密碼感染了 QNAP NAS 設備。

獨立專家 觀察到 ，4 月 19 日至 26 日期間 eCh0raix 感染報告激增。

在同一時期，該供應商還警告其用戶持續發生 AgeLocker 勒索軟件爆發。

2019 年，Anomali 研究人員報告了一波針對 Synology NAS 設備的 eCh0raix 攻擊浪潮，攻擊者  對它們進行了蠻力攻擊。