勒索軟件新變種可同時攻擊群暉和威聯通的NAS產品
勒索軟件eCh0raix早在2019年以來就一直活躍,并以攻擊NAS產品而著稱。當時安全公司Intezer和Anomali的專家就發現了針對網絡附加存儲(NAS)設備的勒索軟件樣本。
NAS產品是黑客的特權目標,因為它們通常存儲大量數據。勒索軟件針對的是QNAP(威聯通)制造的保護不力或易受攻擊的NAS服務器,攻擊者利用已知漏洞或進行暴力攻擊。
該勒索軟件被Intezer跟蹤為“QNAPCrypt”和Anomali的“eCh0raix”,是用Go編程語言編寫的,并使用AES加密來加密文件。惡意代碼將.encrypt擴展名附加到加密文件的文件名。
今年5月,QNAP警告客戶,威脅攻擊者正在利用Roon Server零日漏洞,用eCh0raix勒索軟件攻擊其NAS設備。而安全專家也觀察到 ,4月19日至26日期間eCh0raix勒索軟件感染報告激增。在同一時期,威聯通還警告其用戶AgeLocker勒索軟件攻擊爆發。
2019年,Anomali研究人員還報告了一波針對Synology NAS設備的eCh0raix攻擊,攻擊者使用了暴力攻擊。
近日,Palo Alto Networks的Unit 42的研究人員發現了一種新的eCh0raix變體,有史以來第一次支持同時攻擊上述兩家供應商的NAS設備。
“Unit 42研究人員發現了一種針對Synology網絡附加存儲(NAS)和Quality Network Appliance Provider (QNAP) NAS設備的eCh0raix勒索軟件的新變種。為此,攻擊者還利用CVE-2021-28799向QNAP設備提供新的eCh0raix勒索軟件變體。”報告指出:“雖然eCh0raix是已知的勒索軟件,它歷來在不同的活動中分別針對QNAP和Synology的NAS設備,但這個新變種是我們觀測到的,首次具備同時攻擊QNAP和Synology NAS設備的功能,這表明一些勒索軟件開發人員正在繼續投資優化針對(SOHO居家辦公環境中常見設備的工具。”
根據Cortex Xpanse平臺的數據,目前約有25萬臺QNAP和Synology NAS設備暴露在互聯網上。
攻擊背后的勒索軟件團伙利用QNAP NAS中的 CVE-2021-28799漏洞來訪問它們,同時暴力攻擊目標Synology NAS設備。
上周,Synology警告客戶,StealthWorker僵尸網絡正在進行暴力攻擊,試圖植入勒索軟件。
一旦設備受到威脅,攻擊者就會將其用于僵尸網絡,用于針對Linux系統(包括Synology NAS)的攻擊。
緩解建議:
- 更新設備固件以防止這種性質的攻擊。有關針對 CVE-2021-28799更新QNAP NAS設備的詳細信息,可以訪問QNAP網站;
- 創建復雜的登錄密碼,使攻擊者更難進行暴力破解;
- 僅通過可識別IP的硬編碼列表限制與SOHO連接設備的連接,以防止用于向設備傳送勒索軟件的網絡攻擊。
