eCh0raix勒索软件锁定威联通与群晖NAS发动攻击，25万台设备恐成目标

锁定特定厂牌NAS设备的勒索软件攻击，最近2到3年来陆续传出数起事故，当中不少是针对台湾厂商威联通科技（QNAP）、群晖科技（Synology）的NAS设备而来，但近期较新的勒索软件，开始具备能同时对于不同厂牌设备发动攻击的能力。

在8月10日，资安业者Palo Alto Networks揭露新的eCh0raix（亦被称为QNAPCrypt）勒索软件变种，并指出新版本与过往eCh0raix最大的差异，就是首度能同时针对威联通与群晖的NAS发动攻击。以往的eCh0raix曾攻击威联通NAS数次，并曾一度于2019年对群晖NAS下手。该公司指出，同时可攻击威联通和群晖NAS的eCh0raix，最早可能在2020年9月就出现。

而在在2021年被揭露的eCh0raix，究竟有多少NAS会成为攻击目标？Palo Alto根据自家Cortex Xpanse威胁情资平台收集的情报指出，他们看到约有25万台威联通与群晖的NAS设备，曝露在互联网上，而可能成为这一波的攻击目标。在截稿（2021年8月11日下午7时30分）之前，威联通和群晖皆尚未针对此事发出公告。

混合漏洞滥用与暴力破解的管道入侵

对于本次新变种勒索软件的攻击手法，Palo Alto表示，攻击者分别对于两个厂牌的设备，利用了漏洞攻击与暴力破解的方式入侵。

针对威联通NAS的部分，eCh0raix主要是滥用今年4月下旬修补的漏洞CVE-2021-28799，该漏洞存在于灾害复原模组Hybrid Backup Sync（HBS 3），当时引发了另一款勒索软件Qlocker大规模感染的攻击事故。

至于这款eCh0raix如何入侵群晖的NAS装置，并加密档案？Palo Alto指出，该勒索软件借由尝试常用的管理员密码，来企图存取该厂牌设备。

针对此次攻击，Palo Alto提供了入侵指标（IOC），亦呼吁用户要更新固件、采用复杂的密码，并且限缩能够存取NAS的管道，最好仅允许特定IP地址的装置才能连线。

锁定小型企业NAS的攻击加剧

勒索软件eCh0raix锁定NAS发动攻击，已有多次记录。最早约于2016年出现，Palo Alto指出，在本次揭露的勒索软件出现之前，攻击者是针对不同厂牌的NAS，采用个别的程式码基础（Codebase）来开发勒索软件。

其中，针对威联通NAS发动的攻击，迄今已有数次，其中较为重大的事故，分别发生于2019年6月，以及2020年6月，先后攻击者是透过暴力破解和操作系统漏洞，入侵NAS来植入勒索软件。

而对于群晖的NAS，该勒索软件也在2019年有发动攻击的记录，攻击者以暴力破解的方式入侵该厂牌设备。

本次的eCh0raix变种勒索软件，结合了攻击两种厂牌NAS的能力，所代表的意义为何？这代表了攻击者的能力更为强大，且这些厂牌的用户都可能无法抱存侥幸的心理，必须落实相关安全措施来加以防范。