勒索软件新变种可同时攻击群晖和威联通的 NAS产品

勒索软件eCh0raix 至少自 2019 年以来就一直活跃,并以攻击NAS产品而著称。当时安全公司 Intezer 和 Anomali 的专家分别发现了针对网络附加存储 (NAS) 设备的勒索软件样本。

NAS产品是黑客的特权目标,因为它们通常存储大量数据。勒索软件针对的是QNAP(威联通)制造的保护不力或易受攻击的 NAS 服务器,攻击者利用已知漏洞或进行暴力攻击。

该勒索软件被 Intezer 跟踪为“ QNAPCrypt ”和Anomali 的“ eCh0raix ”,是用 Go 编程语言编写的,并使用 AES 加密来加密文件。恶意代码将 .encrypt 扩展名附加到加密文件的文件名。

今年 5 月,QNAP警告客户,威胁攻击者正在利用 Roon Server 零日漏洞,用eCh0raix 勒索软件攻击其NAS设备。

独立专家 观察到 ,4 月 19 日至 26 日期间 eCh0raix 勒索软件感染报告激增。

在同一时期,威联通还警告其用户 AgeLocker 勒索软件攻击爆发。

2019 年,Anomali 研究人员还报告了一波针对 Synology NAS 设备的 eCh0raix 攻击,攻击者使用了暴力攻击。

近日,Palo Alto Networks 的 Unit 42 的研究人员发现了一种新的eCh0raix变体,有史以来第一次支持同时攻击上述两家供应商的 NAS 设备。

“Unit 42 研究人员发现了一种针对 Synology 网络附加存储 (NAS) 和 Quality Network Appliance Provider (QNAP) NAS 设备的 eCh0raix 勒索软件的新变种。为此,攻击者还利用 CVE-2021-28799 向 QNAP 设备提供新的 eCh0raix 勒索软件变体。” 报告指出:“虽然 eCh0raix 是已知的勒索软件,它历来在不同的活动中分别针对 QNAP 和 Synology 的NAS 设备,但这个新变种是我们观测到的,首次具备同时攻击QNAP 和 Synology NAS 设备的功能,这表明一些勒索软件开发人员正在继续投资优化针对(SOHO居家办公环境中常见设备的工具。”

根据Cortex Xpanse 平台的数据,目前约有 25万台 QNAP 和 Synology NAS 设备暴露在互联网上。

攻击背后的勒索软件团伙利用 QNAP NAS 中的 CVE-2021-28799漏洞来访问它们,同时暴力攻击目标 Synology NAS 设备。

上周,Synology警告客户,  StealthWorker 僵尸网络正在进行暴力攻击,试图植入勒索软件。

一旦设备受到威胁,攻击者就会将其用于僵尸网络,用于针对 Linux 系统(包括 Synology NAS)的攻击。

缓解建议:

  • 更新设备固件以防止这种性质的攻击。有关 针对 CVE-2021-28799更新 QNAP NAS 设备的详细信息,请 访问 QNAP 网站。
  • 创建复杂的登录密码,使攻击者更难进行暴力破解。
  • 仅通过可识别 IP 的硬编码列表限制与 SOHO 连接设备的连接,以防止用于向设备传送勒索软件的网络攻击。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签: ,


关于作者

IT到底是重要呢还是重要呢还是重要呢