近期知名 NAS 廠商 QNAP 的 NAS 遭受大規模駭客攻擊,主要透過勒索軟件 eCh0raix (暴力密碼破解) 及 Qlocker (漏洞攻擊) 進行攻擊,被成功入侵的 QNAP 用戶,其 NAS 內的檔案將分別被加密成 .encrypt 或 .7z 尾綴的副檔名。目前只有 Qlocker 勒索軟件於加密未完成時,被 QNAP 支援人員 / Malware Remover 中止加密並找到密鑰的案件才能被救回檔案外,其餘的案件只能交付贖金或等待解密工具推出。
據悉,若被 Qlocker 加密的情況,駭客將要求支付 0.01 BTC 作為贖金。而最新消息指出,幕後的駭客組織在短短五天内,已賺取逾 26 萬美元的不法利益。據知情人士透露,Qlocker 於香港時間 2021年4月21日至 2021年4月22日於世界各地散播,入侵途徑透過已確認為 HBS3 套件的 CVE-2021-28799 漏洞,成功入侵後,駭客將利用遠端執行 7zip 加密 NAS 上的檔案。
近期含安全性修正的套件包括 HBS 3、Multimedia Console 及 Media Streaming Add-On
在加密事件發生不久,已有 QNAP 的工程師於 FB 社群發放代碼協助用戶作第一時間急救
Qlocker 事件時間線
- 16 號 QNAP 公佈含安全性修正的更新檔
- 16 – 21 號駭客已找到修正檔所提及的漏洞及開發入侵工具
- 21 – 22 號發動大規模 Qlocker 入侵、攻擊
- 21 號上午開始傳出 NAS 檔案被加密的災情,直到今日
- 22 號 QNAP 於 Malware Remover 加入新規則,移除 Qlocker 及在可行情況下停止加密及取得加密 Key (如 Qlocker 還在加密中);同日發出公告提醒用戶盡快更新
基於這次事件發生,僅於廠商釋出安惟性修正後短短數日已發生,廠商不足時間通知用家更新,用家不夠時間發現及安裝更新檔,以致這次入侵事件的受影響範圍之廣。
駭客於這次攻擊所選對象的方式亦很簡單,主要針對追求便捷地遠端存取檔案而將 NAS 公開在互聯網的用戶,而這類多數為家庭或中小企用戶。駭客瞄準了這類用戶一般對資安保護、備份的知識與意識薄弱,故其只要在整個 Internet 掃瞄並找出開放連線同時能遠端登錄的 QNAP NAS 設備,即能鎖定這些目標並策動攻擊。
在攻擊發生前幾日 (4 月 16 日),QNAP 其實已推出相關漏洞的安全性更新,供用戶服用。但事出突然,對於沒有排程更新或自動更新的用戶,便很大機會因未能及時更新成為這次事件的受害人。至於駭客亦看準了這次 QNAP 公佈的安全性修正,並可能透過新舊代碼的對比等方式找出漏洞源頭,而 NAS 應用的 package 較 OS 等大型系統細小得多,故駭客能於短短幾天找出相關已修正的漏洞及開發出勒索軟件 Qlocker。
QNAP 已於本月 16 日釋出並公佈漏洞修復更新及詳情
對此,小編認為廠商在日後這些漏洞修復更新釋出時,應用將更新等級標示為「必要更新」,讓用戶明確了解立即更新的重要性。而在修復描述中簡單指出是「安全性修正」便可,避免透露過多漏洞細節,以增加駭客逆向找出漏洞所在的難度及耗時,給予客戶更多時間去更新。而廠商亦可在大部分用戶已經更新後,才修正 Release Note,把問題描述得較為清楚。
至於今次 Qlocker 的駭客所看準的是普通用戶,而非大型企業,故開出相對較低的贖款索求 0.01 BTC (約為港幣 4,000 多元),而非動則數十萬的巨額勒索。使用戶都較易承受,從而交出贖金取得解密金鑰。據資安專家發現,追蹤到這個駭客共透過了 20 個 BTC 錢包收取贖金,目前約有 500 多名受害者用戶支付了,累計獲得 5.26 BTC,高達約 26 萬美元的巨額獲利。
Qlocker 繳付贖款的頁面
黑客用作收款的 20 個 BTC 錢包 (資料來自 bleepingcomputer)
勒索軟件越來越流行,且因有暴利可圖,同類事件在不同企業、不同品牌的裝置上,都會繼續發生。同時是次 Qlocker 所採用的漏洞雖已被修補,但亦可套用在其他地方,只是今次廠商推出更新檔,駭客亦短時間內發現源頭並散播病毒,因此不論你是使用 QNAP 還是 Synology 等 NAS 品牌,因此只要有將設備公開到互聯網上則具很高的風險,建議各位馬上檢查並補強所使用 NAS 裝置安全設定的不足,以避免成為下一次的受害者 。同時駭客是次這種勒索行為,針對普通用戶並利用其珍貴的資料作要脅勒要贖款,行為相當之可恥,因為我們只能加強防護及資安意識來應對。
不論過往的 SynoLocker 抑或這次的 Qlocker 是否躲過了一劫,亦要持續提升對資安的意識及知識,學習並補充自己不足的部份,去防範日後所面對的風險。至於在今次的情況,上述兩種勒索軟件 eCh0raix 及 Qlocker 的入侵其實可避免的,用戶可參考以下這篇文章,利用各 NAS 廠商提供的安全設定及工具,去作出預防:
