勒索软件近日锁定NAS用户发动攻击,加密用户文件数据,包括台湾NAS存储企业群晖科技(Synology)以及威联通(QNAP)的用户,都在这一波的攻击内。
群晖科技安全事件应变组经理李宜谦表示,光7月20日~21日这个周末就有数十名,使用默认帐号Admin和弱密码的用户,遭到勒索软件暴力破解密码后,进行文件加密后并勒索赎金。
李宜谦表示,群晖科技分析勒索软件样本后发现,攻击群晖科技用户的样本特性,如同先前威胁情报资料企业Anomali发现的,锁定对台湾NAS企业威联通的恶意程序一样,样本都有对群晖科技和威联通的暴力破解模块。他说:“从攻击样本来看,群晖科技和威联通有着高度相似的处境,都可能是被同一个黑客集团锁定攻击。”
黑客加密NAS的数据档,要求赎金1.8万元
群晖科技周末接到用户通报后便紧急进行样本分析,李宜谦指出,他们返回黑客掌控的控制与命令(C2)服务器、抓回样本后发现,在样本中的残留信息有“Stealth Worker”的字符串,推测这个攻击应该是由Stealth Worker,这个原先锁定电子商务企业窃取帐密和金流信息的黑客组织所发动的新一波攻击。
他进一步表示,这些受害的用户都是遭到黑客以暴力破解密码并取得管理者权限后,加密文件夹中的文件,锁定加密的附文件名多为.doc、.docx或者是.pdf等,系统槽并没有被加密;而且,目前黑客所使用的这个加密算法并没有瑕疵,还没有破解之道。
他也说,当用户的文件夹被加密后,被攻击的存储区会放一个说明档,要求用户使用洋葱Tor浏览器连接到某特定网址后,便有说明档要求受害者支付赎金0.06个比特币(大约为新台币1.8万元)。
避免使用常见Admin管理员帐号以及弱密码,尽快升级新版DSM以自保
原本,群晖科技担心是存储操作系统DSM(DiskStation Manager)本身或是特定系统安全性漏洞,导致此次的黑客攻击,但李宜谦说,在团队分析样本后发现,黑客攻击对象其实遍及市面上各种NAS品牌和型号,只要是使用默认Admin管理者帐号并且使用包括123456等弱密码的用户,黑客便利用字典档暴力破解用户密码后,就可以进一步加密NAS文件夹中的文件文件。
早期盼多NAS企业的存储操作系统,都会默认Admin作为管理者帐号,李宜谦说,在DSM 5.1版之后,该公司已经要求用户不要使用默认的Admin作为管理者帐号,并要求使用强密码以确保用户帐密安全。
他指出,目前台湾NAS用户超过九成五都已经升级到最新版DSM 6.2版,遭到攻击机率已经大幅降低,而其他尚未升级新版DSM并且使用强密码的用户,应该尽快升级并提升密码强度,甚至可以搭配使用Google的OTP机制,以强化帐号密码的安全性。
这一波黑客在7月19日发动新一波攻击,通过随机IP隐匿行踪并作为攻击跳板,“群晖科技已经通报TWCERT/CC与CERT/CC,通过国际联防的协同合作,共同解决这一起黑客锁定NAS用户的攻击事件。”李宜谦说道。