QNAP NAS デバイスを再攻撃する eCh0raix ランサムウェア:ID Ransomware への報告が示すものは?

eCh0raix ransomware starts targeting QNAP NAS devices again

2022/06/18 BleepingComputer — 今週に提出された、ID Ransomware プラットフォームへのユーザー・レポートやサンプルにより、ech0raix ランサムウェアが脆弱な QNAP NAS デバイスを再びターゲットにし始めていることが明らかになった。このランサムウェア ech0raix (QNAPCrypt) は、2019年の夏に発見された、インターネットに露出した NAS デバイスへのブルートフォース攻撃を皮切りに、QNAP 顧客に対する大規模な波状攻撃を仕掛け続けてきた。

2019年の夏以降では、2021年12月中旬には脆弱なパスワードを持つデバイスを標的とした攻撃が急増したが、 2022年2月初旬には収束していた。しかし、2020年5月/6月に、このランサムウェア攻撃の被害者から、他のキャンペーンが報告されるようになってきた。今回の ID Ransomware への投稿や、BleepingComputer フォーラムへの被害報告により、新たな ech0raix 攻撃の急増が確認された。なお、直近の被害は 、2022年6月8日に報告されている。

ID Ransomware サービスで特定された、ech0raix のサンプルは数十件ほどであるが、このランサムウェアによりデバイスを暗号化された被害者の一部に過ぎないため、実際の攻撃成功件数はもっと多い可能性がある。

このランサムウェアは 2021年8月以降、Synology NAS システムの暗号化にも使用されているが、今回の被害者たちは、QNAP NAS デバイスへの攻撃によるものとされる。QNAP が、これらの攻撃の詳細を発表するまで、新しい ech0raix キャンペーンで使用された攻撃ベクターは不明のままとなる。

ech0raix ransomware activity
ech0raix ランサムウェアの活動 (ID Ransomware)

攻撃から NAS を守るには

これらの攻撃について、現時点で QNAP から顧客への警告は行われていないが、以前に同社は、潜在的な eCh0raix 攻撃からデータを保護するために、次のことを実施するよう促している。

  • 管理者アカウントに強力なパスワードを使用する。
  • ブルートフォース攻撃からアカウントを保護するために IP Access Protection を有効にする。
  • デフォルトのポート番号 443 および 8080 の使用を避ける。

QNAP は、その時のアドバイザリで、NAS パスワードの変更/IP アクセス保護の有効化/システムポート番号の変更などに関する詳細なインストラクションを提供している。NAS デバイスが、インターネットからの攻撃にさらされるのを防ぐために、ルーターの Universal Plug and Play (UPnP) ポート転送を無効にするよう顧客に呼びかけていた。あるいは、以下の手順に従って、SSH/Telnet 接続を無効化し、IP/アカウント・アクセス保護を ON に切り替えることも可能だ。

木曜日に QNAP は、現在進行中の DeadBolt ランサムウェアによるペイロード展開についても、その攻撃からデバイスを保護するよう、顧客に警告を発した。

QNAP の Product Security Incident Response Team (QNAP PSIRT) の調査によると、この DeadBolt による攻撃は QTS 4.3.6/4.4.1 を使用する NAS デバイスを標的にしており、主に TS-x51/TS-x53 シリーズが影響を受けるとされる。すべての NAS ユーザーは、直ちに QTS を最新バージョンに更新し、NAS をインターネットに非公開にすることが推奨されている。

QNAP に関しては、昨日にも「QNAP の警告:DeadBolt ランサムウェアによる新たな攻撃キャンペーンが始まった?」という記事をポストしています。そして今日は、ech0raix ランサムウェアというわけですが、ストレージに関する攻撃が止まりません。よろしければ、2022年2月8日の「ストレージ・セキュリティの再考:3つの問題点と6つのヒント」を、ご参照ください。ちょっと長いですが、良くまとまった記事です。

%d bloggers like this: