QNAP と Synology の NAS を狙う eCh0raix ランサムウェアとは?

eCh0raix ransomware now targets both QNAP and Synology NAS devices

2021/08/10 BleepingComputer — 新たに発見された eCh0raix ランサムウェアの亜種は、QNAP と Synology の NAS デバイスを暗号化するための機能を追加している。このランサムウェア (QNAPCrypt とも呼ばれる) は、2016年6月に初めて表面化したものであり、BleepingComputer フォーラムのトピックで、被害者による攻撃の報告がなされてきた。このランサムウェアは、QNAP NAS デバイスに波状攻撃を仕掛けてきたが、その中でも大規模だったのは、2019年6月と 2020年6月の攻撃である。

eCh0raix は、2019年に Synology NAS デバイスも暗号化しており、攻撃者がデフォルトの認証情報や辞書攻撃を用いて、管理者の認証情報をブルートフォースしたことが、Anomali の研究者により発見されている。当時、この NAS メーカーは顧客に対し、進行中の大規模なランサムウェア・キャンペーンから、データを保護するよう警告していましたが、攻撃を行ったランサムウェアの名前は公表されなかった。

Synology と QNAP の顧客を標的にする

過去には、QNAP と Synology 標的にする、それぞれのキャンペーンが生じていたが、Palo Alto Networks の Unit 42 セキュリティ研究者たちは、本日に公開されたレポートの中で、eCh0raix は 2020年9月から双方の NAS ファミリーを暗号化する機能をバンドルし始めたと述べている。Unit 42 は、「以前の攻撃者は、それぞれのベンダーのデバイスを対象としたキャンペーンのために、別々のコードベースを持っていた可能性が高い」と述べている。さらに、ランサムウェアのオペレーターは、CVE-2021-28799 (ハードコードされた認証情報へのアクセスを攻撃者に開示する脆弱性) を悪用して QNAP デバイスを暗号化している。

攻撃者は、一般的に使用されている管理者の認証情報を推測することで、ブルートフォースで侵入し、Synology NAS デバイスにランサムウェアのペイロードを配信した (前述の 2019年 Synology キャンペーンと同じ手口)。先週に Synology は、eCh0raix ランサムウェアによる直接的な攻撃がないにもかかわらず、ランサムウェア感染につながる可能性のあるブルートフォース攻撃を、StealthWorker ボットネットが継続して行い、データを積極的に狙っていることを顧客に警告する、セキュリティ・アドバイザリを発表した。

5月には、QNAP も eCh0raix ランサムウェア攻撃を顧客に通知しているが、現在進行中の AgeLocker ランサムウェアの発生を警告した、わずか2週間後の出来事だった。QNAP デバイスは、4月中旬から始まった、大規模な Qlocker ランサムウェア・キャンペーンにも見舞われていた。脅威アクターは、オープンソースのファイル・アーカイバである 7zip を使用して、被害者のデータをロックすることで、わずか5日の間に $260,000 を稼ぎ出しました。

少なくとも 250,000台の NAS デバイスが攻撃にさらされている

Palo Alto Networks の Cortex Xpanse プラットフォームを通じて収集されたデータによると、インターネットにさらされている QNAP および Synology の NAS デバイスは、少なくとも 250,000台はあるようだ。Unit 42 の研究者たちは、Synology と QNAP の NASの所有者に対して、データを標的としたランサムウェア攻撃を阻止するために、以下のベスト・ プラクティスに従うようアドバイスしている。

・デバイスのファームウェアを更新して、この種の攻撃を防ぐ。QNAP NAS デバイスの CVE-2021-28799 に対するアップデートについては、QNAP Web サイトで詳細を確認。
・複雑なログイン・パスワードを作成して、攻撃者によるブルートフォースを困難にする。
・ランサムウェアをデバイスに配信するためのネットワーク攻撃を防ぐために、SOHO接続デバイスへの接続に関して、ハードコードされた認識可能な IP リストを制限する。

Unit 42 は、「今回、eCh0raix の新バージョンに関する調査結果を発表したのは、SOHO や中小企業における継続的な脅威に対する認識を高めるためだ。SOHOユーザーは、より大きなターゲットを攻撃しようとしている、ランサムウェア運用者にとって魅力的だ。なぜなら、攻撃者は SOHO の NAS デバイスを、大企業に対するサプライチェーン攻撃の踏み台として利用し、巨額の身代金を得ることができる可能性があるからだ」と付け加えている。

チームのデータベースを検索したら、CVE-2021-28799 は 4月27日に入力されていました。対象製品名は、QNAP QTS、QNAP QuTS hero、QNAP QuTScloud なので、Synology を加えなければいけませんね。その時は、NVD の CVSS が追いついていませんでしたが、追いついたら 9.8 に跳ね上がっていました。これも、修正点です。この両社の NAS のユーザーは、要注意です。

%d bloggers like this: