臺灣NAS製造商威聯通科技(QNAP)再傳用戶遭到勒索軟體攻擊!根據資安新聞網站Bleeping Computer報導,自4月19日起,駭客鎖定該廠牌NAS設備發動攻擊,並透過名為Qlocker的勒索軟體將檔案加密,檔案的副檔名全部變成7Z,且留下勒索訊息要求受害者支付0.01個比特幣(約相當於557.74美元)來解鎖。
此起事件在威聯通的社群討論區,以及國內外的網路論壇引起熱烈討論,不少使用者表示自己NAS的檔案全數遭到加密,甚至後來有人自力救濟提出解法,宣稱不需付贖金有機會把檔案救回來,但後來又傳出發動攻擊的駭客再度修改勒索軟體,使得原本的機制失效。
根據這些使用者的描述,他們的NAS在遭到攻擊之後,檔案全部被7-Zip打包成受到密碼保護的壓縮檔案,有部分受害者發現快照遭到刪除。而在檔案被加密的過程中,使用者可從NAS的資源監視器看到7-Zip命令列版本的處理程序在執行。
針對這起事故的導火線,威聯通向Bleeping Computer表示,很有可能與2個重大漏洞有關,這些漏洞允許任意人士取得完整的存取權限,並在NAS上執行勒索軟體。
這2個漏洞分別是CVE-2020-2509,以及CVE-2020-36195。它們先後在2020年10月與11月,被SAM Seamless Network發現並通報威聯通。前者是存在於QTS與QuTS hero作業系統的命令注入漏洞,後者則是SQL注入漏洞,涉及多媒體主控臺與影音串流附加元件。威聯通在4月16日發布相關修補程式。
威聯通指出,他們相信Qlocker事故中,攻擊者濫用了CVE-2020-36195,進而在存在漏洞的NAS設備上執行勒索軟體。基於這樣的可能發生原因,該公司強烈建議用戶更新QTS、多媒體主控臺,以及影音串流附加元件,來防範攻擊者濫用相關漏洞。
而對於此事,我們也向威聯通詢問,該公司指出他們有收到少部分的客戶通報此事,目前該公司資安團隊與客服工程師與用戶密切合作,協助排除問題,並追查入侵軌跡。他們初步調查發現,直接連接網際網路的NAS設備,有可能會遭遇相關攻擊,對此,他們指出,用戶不只要使用最新版的作業系統和應用程式,也應該採取資安強化措施來降低相關風險,像是停用Admin帳號、加強密碼強度,以及變更預設連接埠等。