QNAP 警告:新しいランサムウェア Checkmate が NAS を標的にしている

QNAP warns of new Checkmate ransomware targeting NAS devices

2022/07/07 BleepingComputer — NAS (Network-attached storage) ベンダーである QNAP が、データ暗号化のランサムウェア Checkmate の攻撃からデバイスを保護するよう、顧客に対してアドバイザリを公開した。このアドバイザリによると、Checkmate の攻撃は、SMB サービスが有効なインターネットに露出した QNAP デバイスと、ブルートフォース攻撃で簡単に解読できる、脆弱なパスワードのアカウントに集中しているとのことだ。

QNAP は、「このところ、新しいランサムウェア Checkmate が注目されている。予備調査によると、Checkmate は、インターネットに公開されている SMB サービス経由で攻撃を仕掛けているが、脆弱なパスワードのアカウントを破るためのディクショナリ・アタックを採用している」と述べている。

Checkmate による攻撃は、5月28日頃から観測されており、暗号化したファイルに拡張子 .checkmate を付け、身代金のメモ !CHECKMATE_DECRYPTION_README をドロップしていくという。

QNAP の公式フォーラムや SNS でが報告されていないが、被害者たちは Checkmate によりロックされたファイルを、BleepingComputer フォーラムの専用スレッドで共有している。これまでに、BleepingComputer が確認した身代金請求書によると、攻撃者は被害者に対して、ロックされたファイルの復号のために、$15,000 相当の Bitcoin を支払うよう要求している。

QNAP によると、このキャンペーンの脅威アクターは、まず、ディクショナリ・アタックにより盗み出したアカウント情報を用いて、リモート・アクセスが可能なバイスにログインする。そして、アクセス権を得た後に、共有フォルダ内のファイルの暗号化を開始するとのことだ。ただし、すべてのデータが暗号化されたという、被害報告もあるようだ。

Checkmate ransom note
Checkmate ransom note (BleepingComputer)

Checkmate の攻撃をブロックするには

QNAP がユーザーへ向けて発した警告には、NAS デバイスのオンライン露出の停止/VPN ソフトウェアを用いた攻撃対象領域の縮小/侵害されたアカウントを介したログインのブロックなどの対策が記されている。それらに加えて、すべての NAS アカウントの迅速な見直しや、強力なパスワード使用の確認/ファイルのバックアップ/データ復元のための定期的なバックアップ・スナップショットなどの対策も促している。

また、QTS/QuTS hero/QuTScloud にログインし、Control Panel > Network & File > Win/Mac/NFS/WebDAV > Microsoft Networking へ進み、Advanced Options をクリックした後に “SMB 2 or higher” を選択し、”SMB 1″ を無効化する必要がある。

さらに、管理者として QTS/QuTS hero/QTScloud にログインし、Control Panel > System > Firmware Update で “Live Update” の下の “Check for Update” をクリックし、NAS デバイスのファームウェアを最新バージョンに更新することも推奨している。

QNAP はアドバイザリで、「この件を徹底的に調査しており、可能な限り早急に追加の情報を提供する」と述べている。

いくつかのユーザー・レポートと、ID Ransomware のサンプルによると、6月中旬以降にランサムウェア ech0raix が、脆弱な QNAP NAS デバイスを再び標的にしているという。先月に QNAP は、6月初旬に始まったランサムウェア DeadBolt による攻撃を、徹底的に調査しているとも述べている。これまでにも、QNAP はユーザーに対して警告を発し、デバイスを最新の状態に保ち、インターネットへの露出を避けるよう促してきたが、その後に、このアドバイザリが公開された。

QNAP NAS へのランサムウェア攻撃ですが、eCh0raixDeadBoltQlocker などにより、繰り返して被害が発生しているようです。そして、Checkmate 攻撃の特徴ですが、インターネットに露出したデバイスと、ブルートフォース攻撃で簡単に解読できる、脆弱なパスワードのアカウントに集中しているとのことです。ご利用の方は、上記の緩和策などを、ご参照ください。

%d bloggers like this: