2021-08-10
小心 QNAP Qlocker 事件重演 !!!!
Synology 發預警!! 提防 StealthWorker 攻擊
文: KK Wong / 新聞中心
文章索引: IT要聞 網路產品 SYNOLOGY

針對 NAS 裝置的勒索攻擊在近年肆虐,例如在今年 4 月大型的 Qlocker / eCh0raix 攻擊就鎖定 QNAP NAS,勒索病毒會將大量檔案加密並要求高價 BTC 贖金,QNAP 被批評後知後覺、結果中招者無數。Synology 當然是學精了,當近日接獲用戶回報觀察到有異常數量 IP 企圖嘗試登入 NAS,經 Synology 產品安全團隊調查,確認一款稱為 StealthWorker 的惡意軟件正在針對 Windows、Linux 系統及市面上各廠牌 NAS 發動持續的暴力密碼破解攻擊,立即公開叫大家小心。

 

經 Synology 產品安全團隊分析攻擊樣本,這次事件為知名惡意程式 StealthWorker 的攻擊,該駭客組織利用暴力密碼破解手法登入受害裝置,植入惡意程式後進行資料加密勒索,再利用受害裝置進一步探索並攻擊更多弱密碼裝置,可能被攻擊的對象包括一般 Linux 主機及市面上各廠牌 NAS。

 

 

StealthWorkerStealthWorker

▲ Stealthworker 過去亦曾針對網站 CMS 系統進行識別孫及攻擊

 

Synology 表示,Stealthworker 惡意軟件非利用特定系統安全性弱點,主要的原因是用戶使用默認的「admin」管理員賬戶及弱密碼,並將PC 或裝置連接上網,駭客就會藉入中間的漏洞利用暴力密碼破解方法針對性攻擊具有弱憑據的設備。

 

目前 Synology 已與全球多個資安 CERT 單位展開協作及通報惡意程式的 C&C Server (Command and Control Server) 的 IP ,並請相關單位將其關機,以儘快結束此次攻擊事件。同時,Synology 也將通知可能受到影響的客戶,進一步做檢查和防範。

 

StealthWorker

 

Synology 建議使用者採取以下行動來加強 NAS 系統安全性:

 

📌 於 控制台 > 使用者帳號 新增一組具管理員權限的帳號,並停用系統預設的「admin」帳號

📌 加強所有帳號密碼的複雜性,並啟用多步驟驗證 (如 OTP 一次性密碼)或是 Secure SignIn 為帳號提供多一道安全防護

 

此外,若您擔心設備因使用弱密碼而已遭到攻擊,可以透過下列方式進行檢查:

📌 登入 DSM,至 控制台 > 任務排程表 檢查是否被建立異常的程式碼。您也可以透過日誌中心搜尋「Scheduled Task」 。

📌 檢查 File Station 是否有檔案被加密 (副檔名可能已被修改)。

📌 如有上述提及的任何狀況,請備份您的資料並重新安裝最新正式版本 DSM 來確保系統完全乾淨。

 

若有其他不確定性的異狀,建議直接聯絡 Synology 原廠獲取技術支援:

📌 請至 DSM 中的 技術與支援中心 > 支援服務 > 勾選啟用遠端存取,並提供技術支援識別碼與暫時的 DSM 帳號密碼。

 

Synology 呼籲用家毋須恐慌,公司已成立專責產品安全團隊 (PSIRT) ,也透過與相關資安單位協作,確實管理並快速回應資安事件。同時,建議 Synology NAS 用家可透過 DiskStation Manager (DSM) 內建的各項帳號與密碼管理設定,持續加強 NAS 的安全性,以防範惡意攻擊。

 

 

StealthWorker

發表評論