eCh0raix勒索软件锁定威联通与群晖NAS发动攻击，25万台设备恐成目标
文/周峻佑 | 2021-08-11发表
锁定特定厂牌NAS设备的勒索软件攻击，最近2到3年来陆续传出数起事故，当中不少是针对
台湾厂商威联通科技（QNAP）、群晖科技（Synology）的NAS设备而来，但近期较新的勒索
软件，开始具备能同时对于不同厂牌设备发动攻击的能力。
在8月10日，资安业者Palo Alto Networks揭露新的eCh0raix（亦被称为QNAPCrypt）勒索
软件变种，并指出新版本与过往eCh0raix最大的差异，就是首度能同时针对威联通与群晖
的NAS发动攻击。以往的eCh0raix曾攻击威联通NAS数次，并曾一度于2019年对群晖NAS下手
。该公司指出，同时可攻击威联通和群晖NAS的eCh0raix，最早可能在2020年9月就出现。
而在在2021年被揭露的eCh0raix，究竟有多少NAS会成为攻击目标？Palo Alto根据自家
Cortex Xpanse威胁情资平台收集的情报指出，他们看到约有25万台威联通与群晖的NAS设
备，曝露在互联网上，而可能成为这一波的攻击目标。在截稿（2021年8月11日下午7时
30分）之前，威联通和群晖皆尚未针对此事发出公告。
混合漏洞滥用与暴力破解的管道入侵
对于本次新变种勒索软件的攻击手法，Palo Alto表示，攻击者分别对于两个厂牌的设备，
利用了漏洞攻击与暴力破解的方式入侵。
针对威联通NAS的部分，eCh0raix主要是滥用今年4月下旬修补的漏洞CVE-2021-28799，该
漏洞存在于灾害复原模组Hybrid Backup Sync（HBS 3），当时引发了另一款勒索软件
Qlocker大规模感染的攻击事故。
至于这款eCh0raix如何入侵群晖的NAS装置，并加密档案？Palo Alto指出，该勒索软件藉
由尝试常用的管理员密码，来企图存取该厂牌设备。
针对此次攻击，Palo Alto提供了入侵指标（IOC），亦呼吁用户要更新韧体、采用复杂的
密码，并且限缩能够存取NAS的管道，最好仅允许特定IP位址的装置才能连线。
锁定小型企业NAS的攻击加剧
勒索软件eCh0raix锁定NAS发动攻击，已有多次记录。最早约于2016年出现，Palo Alto指
出，在本次揭露的勒索软件出现之前，攻击者是针对不同厂牌的NAS，采用个别的程式码基
础（Codebase）来开发勒索软件。
其中，针对威联通NAS发动的攻击，迄今已有数次，其中较为重大的事故，分别发生于2019
年6月，以及2020年6月，先后攻击者是透过暴力破解和作业系统漏洞，入侵NAS来植入勒索
软件。
而对于群晖的NAS，该勒索软件也在2019年有发动攻击的记录，攻击者以暴力破解的方式入
侵该厂牌设备。
本次的eCh0raix变种勒索软件，结合了攻击两种厂牌NAS的能力，所代表的意义为何？这代
表了攻击者的能力更为强大，且这些厂牌的用户都可能无法抱存侥幸的心理，必须落实相
关安全措施来加以防范。
https://www.ithome.com.tw/news/146141