近期接网络安全厂商信息通报,新发现针对群晖Synology网络附加存储(NAS)和威联通Quality Network Appliance Provider(QNAP)NAS设备的eCh0raix勒索软件新变种,恶意人员通过利用NAS设备已知漏洞或僵尸网络暴力破解等方式入侵NAS设备后进行加密和勒索,具有较高的安全威胁,提醒使用群晖和威联通NAS产品的师生用户注意加强安全防护,避免出现被勒索而造成数据丢失。针对NAS设备的勒索威胁情况和具体的防护建议如下:
针对NAS设备的勒索威胁情况
因为通常存储大量数据,因此NAS产品是黑客的优先攻击目标。
2021年4月19日至26日期间eCh0raix勒索软件感染报告激增;2021年5月,QNAP警告客户,攻击者正在利用Roon Server零日漏洞,用eCh0raix、AgeLocker勒索软件攻击其NAS设备。其中,eCh0raix勒索软件是用Go编程语言编写的,并使用AES加密来加密文件,恶意代码将.encrypt扩展名附加到加密文件的文件名。
2019年,Anomali研究人员还报告了一波针对Synology NAS设备的eCh0raix攻击,攻击者使用暴力破解攻击。
近期,Palo Alto Networks的Unit 42的研究人员发现了一种新的eCh0raix变体,有史以来第一次支持同时攻击上述两家供应商的NAS设备。Unit 42研究人员发现了一种针对Synology网络附加存储(NAS)和Quality Network Appliance Provider(QNAP)NAS设备的eCh0raix勒索软件的新变种。为此,攻击者还利用CVE-2021-28799向QNAP设备提供新的eCh0raix勒索软件变体。该报告还指出:虽然eCh0raix是已知的勒索软件,它历来在不同的活动中分别针对QNAP和Synology的NAS设备,但这个新变种是我们观测到的,首次具备同时攻击QNAP和Synology NAS设备的功能,这表明一些勒索软件开发人员正在继续投资优化针对(SOHO)居家办公环境中常见设备的工具。根据Cortex Xpanse平台的数据,目前约有25万台QNAP和Synology NAS设备暴露在互联网上。
防护建议
1、及时更新NAS设备固件以防止设备已知漏洞被利用。
2、创建复杂的NAS设备登录和使用的密码,使攻击者更难进行暴力破解。
3、可能情况下,通过设置可识别IP地址、MAC地址等列表来限制可连接NAS设备的终端,防止恶意设备或终端对NAS设备访问和传送勒索软件。
信息来源:安全牛
