專門攻擊 QNAP 網路儲存裝置的 eCh0raix 勒索病毒

趨勢科技 TrendMicro 勒索病毒/勒索軟體

最近出現了一個專門攻擊 QNAP 品牌網路儲存 (NAS) 裝置的勒索病毒/勒索軟體 (家族。這個由威脅情報平台供應商 Anomali 的資安研究人員命名為「eCh0raix」的勒索病毒 (趨勢科技命名為 Ransom.Linux.ECHORAIX.A),據報是專為針對性攻擊而設計的勒索病毒,與之前的 RyukLockerGoga 的用途相似。 

最近出現了一個專門攻擊 QNAP 品牌網路儲存 (NAS) 裝置的勒索病毒/勒索軟體 (家族

NAS 裝置是一種專門用來儲存、備份、分享檔案的連網裝置,可作為資料的集散中心,方便所有使用者存取資料。對許多企業機構來說,這是一種低成本、可擴充的儲存解決方案。據統計,約有 80% 的企業機構皆使用這類裝置。 

[延伸閱讀:Narrowed Sights, Bigger Payoffs: Ransomware in 2019]

eCh0raix 分析

eCh0raix 勒索病毒是採用 Go/Golang 程式語言所撰寫,這是一種逐漸 被用於開發惡意程式的語言。eCh0raix 會藉由語言地區檢查來判斷 NAS 裝置的所在位置,如果位於獨立國協 (CIS) 的某些國家境內,如:白俄羅斯、烏克蘭和俄羅斯,eCh0raix 就會終止執行。eCh0raix 可加密的檔案包括:文件、文字檔、PDF、壓縮檔、資料庫、多媒體檔案等等。 

此勒索病毒要求的贖金大約是 0.05 – 0.06 比特幣 (依 2019 年 7 月 11 日的匯率,約合 567 美元),受害者需透過某個 Tor 洋蔥網路上的網站來支付以取得解密金鑰。根據網路媒體 BleepingComputer 的報導指出,該病毒在網路上似乎已經有 Windows 和 macOS 的對應解密工具。受此勒索病毒影響的 QNAP NAS 裝置型號包括:QNAP TS-251、QNAP TS-451、QNAP TS-459 Pro II 及 QNAP TS 253B。 

截至本文撰稿為止,儘管專家對該病毒的確切感染途徑仍不清楚,但根據 BleepingComputer 的論壇貼文指出,被感染的 NAS 裝置都未安裝最新的修補程式,而且密碼強度也不足。這表示 eCh0raix 的幕後集團很可能是利用暴力破解方式或者攻擊裝置漏洞來入侵這些 NAS 裝置。此外,研究人員也指出,eCh0raix 有別於一般典型的勒索病毒家族,似乎是專為針對性攻擊而設計。例如,eCh0raix 的離線版本即內含針對某些特定目標而寫死的加密金鑰,而解密金鑰也隨個別目標而有所不同。 

[相關新聞:MegaCortex ransomware spotted attacking enterprise networks] 

針對性勒索病毒攻擊

eCh0raix 並非第一個專為攻擊 NAS 裝置而設計的勒索病毒家族,但卻是今年出現的幾個最新特化檔案加密勒索病毒之一。雖然勒索病毒相關的整體活動數量在 2019 年似乎有減少的趨勢,但其實是因為針對性勒索病毒攻擊事件更受矚目的關係,例如:挪威鋁業大亨 Norsk Hydro 因LockerGoga 勒索病毒而造成約 4,000 萬美元的財務損失、美國多家報紙因 Ryuk 勒索病毒而營運受阻、美國俄亥俄州巴爾的摩 (Baltimore) 市政府因遭勒索病毒攻擊而暫停服務,造成 1,820 萬美元左右的損失。

許多威脅都是利用系統安全性的弱點,例如 eCh0raix 利用的是系統漏洞和使用者密碼強度不足的弱點。根據 Anomali 的網路掃瞄結果顯示,美國有高達 19,000 台 QNAP NAS 裝置正暴露在公共網路上。一般來說,NAS 裝置上並不會安裝惡意程式防護軟體,因此很容易遭到攻擊,尤其是來自網路犯罪集團的針對性攻擊。 

[最佳實務原則:Defending Against Ransomware]

保障 NAS 裝置安全

對於旗下產品遭到 eCh0raix 勒索病毒針對,QNAP Systems 已經提出一些針對勒索病毒的防範建議,例如啟用 QNAP 的快照功能來備份及復原檔案。此外,企業和一般消費者也應採取以下最佳實務原則來縮小 NAS 裝置的攻擊面:

  • 更換出廠預設登入憑證,考慮採用一套驗證及認證機制來確保 NAS 裝置存取安全。
  • 隨時將 NAS 裝置的韌體更新到最新版本以防堵漏洞。
  • 確保其他的系統或裝置也隨時保持更新 (尤其是與 NAS 連接或內建於 NAS 當中的路由器)。
  • 貫徹最低授權原則:唯有用到的功能和元件才啟用 (例如路由器上的連接埠)。此外,從網際網路連上 NAS 時請透過 VPN 連線。
  • 啟用 NAS 裝置上的內建防護功能,例如:QNAP 的網路存取保護可降低暴力破解攻擊或類似入侵技巧的威脅。

趨勢科技的XGen安全防護技術能提供跨世代融合的威脅防禦技巧,完整防範各式各樣的威脅,保護 資料中心 雲端環境網路端點。它結合了高準度的 機器學習(Machine learning,ML) 與其他偵測技術和全球威脅情報,提供完整的進階惡意程式防護。精準、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。

原文出處:eCh0raix Ransomware Found Targeting QNAP Network-Attached Storage Devices

相關文章:

勒索病毒MongoLock變種不加密,直接刪除檔案,再格式化備份磁碟,台灣列為重大感染區
散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅
PC-cillin2017 雲端版成功封鎖攔截勒索病毒 WannaCry,即刻免費安裝試用,不再「 想哭」!
預防勒索病毒,如何避免成為WannaCry/Wcry勒索蠕蟲的受災戶?(內含關閉445通訊埠之參考步驟)