專門攻擊 QNAP 網路儲存裝置的 eCh0raix 勒索病毒

TechNode

最近出現了一個專門攻擊 QNAP 品牌網路儲存(NAS)裝置的勒索病毒/勒索軟體家族。這個由威脅情報平臺供應商 Anomali 的資安研究人員命名為「eCh0raix」的勒索病毒(趨勢科技命名為 Ransom.Linux.ECHORAIX.A),據報是專為針對性攻擊而設計的勒索病毒,與之前的 Ryuk 或 LockerGoga 的用途相似。

NAS 裝置是一種專門用來儲存、備份、分享檔案的連網裝置,可作為資料的集散中心,方便所有使用者存取資料。對許多企業機構來說,這是一種低成本、可擴充的儲存解決方案。據統計,約有 80% 的企業機構皆使用這類裝置。

藉由語言地區判斷 NAS 裝置位置繼而停止執行

eCh0raix 勒索病毒是採用 Go/Golang 程式語言所撰寫,這是一種逐漸被用於開發惡意程式的語言。eCh0raix 會藉由語言地區檢查來判斷 NAS 裝置的所在位置,如果位於獨立國協(CIS)的某些國家境内,如:白俄羅斯、烏克蘭和俄羅斯,eCh0raix 就會終止執行。eCh0raix 可加密的檔案包括:文件、文字檔、PDF、壓縮檔、資料庫、多媒體檔案等。

此勒索病毒要求的贖金大約是 0.05 – 0.06 比特幣,受害者需透過某個 Tor 洋蔥網路上的網站來支付以取得解密金鑰。根據網路媒體 BleepingComputer 的報導指出,該病毒在網路上似乎已經有 Windows 和 macOS 的對應解密工具。受此勒索病毒影響的 QNAP NAS 裝置型號包括:QNAP TS-251、QNAP TS-451、QNAP TS-459 Pro II 及 QNAP TS 253B。

儘管專家對該病毒的確切感染途徑仍不清楚,但據 BleepingComputer 的論壇貼文指出,被感染的 NAS 裝置都未安裝最新的修補程式,而且密碼強度也不足。這表示 eCh0raix 的幕後集團很可能是利用暴力破解方式或者攻擊裝置漏洞來入侵這些 NAS 裝置。

今年最新出現特化檔案加密勒索病毒之一

此外研究人員也指出,eCh0raix 有别於一般典型的勒索病毒家族,似乎是專為針對性攻擊而設計。例如,eCh0raix 的離線版本即内含針對某些特定目標而寫死的加密金鑰,而解密金鑰也隨個别目標而有所不同。

eCh0raix 並非第一個專為攻擊 NAS 裝置而設計的勒索病毒家族,但卻是今年出現的幾個最新特化檔案加密勒索病毒之一。許多威脅都是利用系統安全性的弱點,例如 eCh0raix 利用的是系統漏洞和使用者密碼強度不足的弱點。

根據 Anomali 的網路掃瞄結果顯示,美國有高達 19,000 臺 QNAP NAS 裝置正暴露在公共網路上。一般來說,NAS 裝置上並不會安裝惡意程式防護軟體,因此很容易遭到攻擊,尤其是來自網路犯罪集團的針對性攻擊。

對於旗下產品遭到 eCh0raix 勒索病毒針對,QNAP Systems 已經提出一些針對勒索病毒的防範建議,例如啟用 QNAP 的快照功能來備份及複原檔案。

(文章獲趨勢科技資安趨勢部落格授權轉載)