QNAP威聯通NAS設備第三次遭到 DeadBolt 勒索軟體攻擊

Deadbolt勒索軟體鎖定使用 QTS 4.3.6 和 QTS 4.4.1 的 QNAP NAS 設備,QNAP呼籲所有 NAS 用戶儘速檢查並更新 QTS 至最新版本,並避免將 NAS 暴露於互聯網上。

台灣網路附加存儲 (NAS) 設備製造商 QNAP 週四(5/19),證實正在對新一波DeadBolt的攻擊進行調查,據其產品安全事件回應團隊稱,此次攻擊鎖定使用 QTS 4.3.6 與 QTS 4.4.1 的 NAS 設備,受影響機型以 TS-x51 系列及 TS-x53 系列為主。QNAP 呼籲所有 NAS 用戶儘速檢查並更新 QTS 至最新版本,並避免將 NAS 暴露於互聯網上。

這一事件標誌著 QNAP 設備自今年年初以來第三次受到DeadBolt 勒索軟體的攻擊。今年1 月QNAP警告用戶,名為 DeadBolt的一種新勒索軟體利用所謂零時差漏洞廣泛針對其NAS設備。DeadBolt在對QNAP設備的持續攻擊中加密用戶數據並需支付比特幣解密,使多達 4,988 台受DeadBolt 勒索軟體攻擊的 QNAP 設備被發現,促使該公司發布了強制韌體更新,3 月中旬觀察到Deadbolt第二次攻擊的新案例,發現超過 1,000 台 QNAP QTS 設備已被 DeadBolt 勒索軟體感染。

由於QNAP在公告中沒有提及任何漏洞利用(CVE),目前尚不清楚 DeadBolt 勒索軟體攻擊者是否正在利用特定漏洞。QNAP也沒有透露有關最近發現多少台設備遭攻擊,但表示他們沒有看到任何涉及已更新的系統遭 Deadbolt感染。 Palo Alto Networks的Unit 42 週一在 Twitter 上表示,觀察到最新一波的 DeadBolt 攻擊QNAP NAS 設備是從 5 月 13 日開始的,發現了大約 3000 個受感染設備。

QNAP 設備的最新攻擊突出了一個持續修補的重要性,如果仍然存在許多暴露的實例,這代表了在最新攻擊之後更新的緊迫性。

美國和其他政府機構最近發布的聯合網路安全諮詢警告企業,最常見的錯誤和安全弱點使攻擊者能夠獲得內部網路的初始存取權限,這包括暴露在公共互聯網上的配置錯誤的服務,以及開放的端口和過時的軟體。

QNAP 建議用戶關閉Port Forwarding功能以停止將 NAS 設備暴露在互聯網上。

注意了! 繼去年四月的攻擊後,新的一波 QLocker勒索軟體再度針對 QNAP NAS 設備發動攻擊!!

專家警告稱,新一波Qlocker勒索軟體針對全球的 QNAP NAS 設備來襲,新的攻擊活動於 1 月 6 日開始,發現駭客在受感染的設備上放置名為 !!!READ_ME.txt 的勒索信。回顧去年5 月,台灣供應商威聯通QNAP警告其客戶更新在其網路附加存儲 (NAS) 設備上運行的 HBS 3 災難恢復應用程式,以防止 Qlocker 勒索軟體感染。

自2021年 4月19日那週開始,駭客大規模勒索軟體活動中針對 QNAP 的客戶,在破壞他們的 NAS 設備後,透過名為Qlocker的勒索軟體將檔案加密,檔案的副檔名全部變成7Z。QNAP 警告說,攻擊者正在利用 HBS 3 Hybrid Backup Sync 應用程式中寫死在韌體的硬式編碼漏洞CVE-2021-28799入侵用戶的設備並加密他們的檔案。

根據勒索軟體識別服務 ID-Ransomware的創建者Michael Gillespie提供的統計數據,這些攻擊於去年4月20 日首次被發現,感染數量每天飆升至數百次 。一旦勒索軟體感染了設備,它會將 NAS 上的所有文件移動到受密碼保護的7Z 檔案中,並要求支付 550 美元的贖金,並刪除snapshots以防止從備份中恢復數據,並在每個受影響的檔案夾中放置的勒索信(名為 !!!READ_ME.txt)。勒索信中包含通過 Tor 站點與Qlocker勒索軟體操作者取得聯繫的說明。

據BleepingComputer報導,2022 年 1 月 6日出現了新版本的 QLocker 勒索軟體稱為 QLocker2,並將舊的Qlocker勒索軟體稱為 QLocker1。目前還不確定,QLocker2與原始版本有什麼不同,但據悉用戶在感染後無法連接到 NAS。勒索信還包括 Tor 站點地址 ( gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion ),受害者會被提示存取以獲取有關他們需要支付多少費用才能重新存取其檔案的有關的資料。自這一系列新的 Qlocker 攻擊開始以來,BleepingComputer 看到的 Tor 受害者頁面顯示贖金在 0.02 到 0.03 比特幣之間即$840-$1300 美元。

QLocker的勒索信

不幸的是,不論Qlocker 1 或Qlocker 2並不是唯一針對 QNAP NAS 設備的勒索軟體,QNAP 去年還通知客戶保護他們的設備免受AgelockereCh0raix勒索軟體的攻擊。

本月早些時候,QNAP 還建議其客戶通過停用路由器上的端口轉發和機器上的 UPnP 功能來保護其連接 Internet 的 NAS 系統免受持續的勒索軟體和暴力攻擊。

您可以檢查NAS 並按照建議配置系統設置,以更好地保護您的設備並保護您的數據:

*刪除未知或可疑帳戶。

*刪除未知或可疑的應用程式。

*在 myQNAPcloud 中禁用自動路由器配置並設置設備訪問控制。

*禁用路由器上的端口轉發,使用 myQNAPcloud Link 或 QVPN 服務進行遠端連接。

*如果 NAS 直接連接到 Internet,請更改系統端口號。

*安裝並運行最新版本的 Malware Remover。

*更改所有帳戶的密碼。

*將已安裝的 QTS 應用程式更新至最新版本。

*將 QTS 更新到最新的可用版本。

*安裝 QuFirewall。

台灣網路設備供應商威聯通QNAP警告,比特幣礦工正針對其NAS設備發動攻擊

台灣網路設備供應商威聯通(QNAP) , 12 月 7 日在其網站發布安全公告(Advisory),警告用戶一種新的加密挖礦惡意軟體正針對其網路附加儲存設備 (NAS)。

QNAP沒有分享有關設備如何被入侵的任何資訊,但表示一旦 NAS 被感染,CPU 使用率會變得異常的高,據了解,其中名為[oom_reaper]的進程將挖礦比特幣,該進程更會佔總 CPU 使用率的 50% 左右。QNAP進一步表示,在運行時該進程更會模仿成一個核心進程,但它的 PID 通常高於1000 。據信攻擊活動中使用的挖礦似乎缺乏持久性機制,這意味著重新啟動設備可刪除惡意軟體。

現階段QNAP正在調查有關感染的過程,並呼籲客戶採取主動措施應對攻擊,例如更新其設備的操作系統(稱為 QTS 或 QuTS)和所有 QNAP 附加應用程式。

此外,該公司還告訴用戶更改他們所有的 NAS 帳戶密碼,因為它不確定攻擊者是否利用了漏洞,或是暴力破解了使用弱密碼的連接互聯網的QNAP系統。

QNAP建議客戶,如懷疑他們的 NAS 感染了這個比特幣礦工的惡意軟體,應重新啟動他們的設備,以刪除惡意軟體。

QNAP 還建議客戶採取以下措施來保護他們的設備:

*將 QTS 或 QuTS hero 更新到最新版本。

*安裝 Malware Remover 並將其更新到最新版本。

*為您的管理員和其他用戶帳戶使用更強的密碼。

*將所有已安裝的應用程式更新到最新版本。

*不要將您的 NAS 暴露在互聯網上,或避免使用default的系統端口443 和 8080。

在過去幾年中,Muhstik、  QlockereCh0raixAgeLocker等勒索軟體亦曾針對 QNAP 設備,駭客可以存取客戶的NAS 系統,加密用戶數據,然後索要小額贖金。雖然加密挖掘惡意軟體比較少見,但以前也曾發生過。在 2020 年底和 2021 年初,QNAP NAS 設備成為Dovecat 加密挖礦惡意軟體的目標,該惡意軟體濫用弱密碼在QNAP系統上獲得切入點。