Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향eCh0raix 랜섬웨어, QNAP 및 Synology NAS 장치를 대상
작성일 2021-08-11 조회 10

 

 

새로 발견된 eCh0raix 랜섬웨어 변종에 QNAP 및 Synology NAS(Network-Attached Storage) 장치 암호화 지원이 추가되었다.


이 랜섬웨어 변종(QNAPCrypt라고도 함)은 2016년 6월, 피해자가 BleepingComputer 포럼 주제에서 공격 사실을 보고하기 시작한 후 처음 등장했다.


랜섬웨어는 여러 차례 QNAP NAS 장치를 강타했으며 2019년 6월과 2020년 6월에 두 개의 대규모 공격이 보고됐다.


eChch0raix는 또한 2019년에 Synology가 만든 장치를 암호화했는데, Anomali 연구진은 공격자들이 기본 자격 증명 또는 사전 공격을 사용하여 관리자 자격 증명에 무차별 대입하는 것을 발견했다.


당시 NAS 제조업체는 고객에게 지속적인 대규모 랜섬웨어 캠페인으로부터 데이터를 보호하라고 경고했지만, 이번 공격에 책임이 있는 랜섬웨어 작업의 이름은 지정하지 않았다.


과거에는 별도의 캠페인에서 QNAP와 Synology 장치를 모두 대상으로 했지만 Palo Alto Networks의 Unit 42 보안 연구진은 오늘 발표된 보고서에서 eCh0raix가 2020년 9월부터 두 NAS 제품군을 암호화하는 기능을 번들로 제공하기 시작했다고 밝혔다.


Unit 42는 "그 전에는 공격자가 각 공급업체의 장치를 대상으로 하는 캠페인에 대해 별도의 코드베이스를 가지고 있었을 것"이라고 말했다.


랜섬웨어 운영자들은 추가적으로 밝혀진 바와 같이 CVE-2021-28799(공격자에게 하드코딩된 자격 증명, 일명 백도어 계정에 대한 액세스를 제공하는 취약점)를 이용하여 QNAP 기기를 암호화하는데, 지난 4월 대규모 Qlocker 캠페인에서도 같은 결함이 악용됐다.


공격자는 일반적으로 사용되는 관리 자격 증명(위에서 언급한 2019 Synology 캠페인에서 사용된 것과 동일한 전술)을 추측하여 Synology NAS 장치에 랜섬웨어 페이로드를 전달하기 위해 무차별 대입한다.


비록 직접 eCh0raix 랜섬웨어에 연결되지는 않았지만, Synology는 지난주 고객에게 StealthWorker 봇넷이 랜섬웨어 감염으로 이어질 수 있는 지속적인 무차별 대입 공격에서 그들의 데이터를 적극적으로 표적으로 삼고 있다고 경고하는 보안 권고를 발표했다.


QNAP는 또한 진행 중인 AgeLocker 랜섬웨어 발생에 대해 경고한 지 불과 2주 만에 5월에 eCh0raix 랜섬웨어 공격에 대해 고객에게  알렸다.


QNAP 장치는 또한  4월 중순부터 시작된 대규모 Qlocker 랜섬웨어 캠페인에 피해를 입었는데, 위협 행위자는 7zip 오픈 소스 파일 아카이버를 사용하여 피해자의 데이터를 잠가 단 5일 만에 26만 달러를 벌어들였다.


Palo Alto Networks의 Cortex Xpanse 플랫폼을 통해 수집된 데이터에 따르면 인터넷에 노출된 QNAP 및 Synology NAS 장치는 최소 25만 개에 달한다.


Unit 42 연구원은 Synology 및 QNAP NAS 소유자에게 그들의 데이터를 대상으로 하는 랜섬웨어 공격을 차단하기 위해 다음 모범 사례의 최종 목록을 따르도록 권고하고 있다.


- 이러한 유형의 공격을 차단하려면 장치 펌웨어를 업데이트하십시오. CVE-2021-28799에 대한 QNAP NAS 장치 업데이트에 대한 세부 정보는 QNAP 웹사이트를 참조하십시오.

- 공격자가 무차별 대입 공격을 더 어렵게 만들려면 복잡한 로그인 암호를 만드십시오.

- 장치에 랜섬웨어를 전달하는 데 사용되는 네트워크 공격을 방지하기 위해 하드 코딩된 인식 IP 목록에서만 SOHO 연결 장치에 대한 연결을 제한하십시오.


Unit 42는 "우리는 SOHO와 중소기업 부문에 대한 지속적인 위협에 대한 경각심을 높이기 위해 이 새로운 변종인 eCh0raix에 대한 연구 결과를 발표한다"고 덧붙였다.


공격자가 SOHO NAS 장치를 잠재적으로 거대한 몸값을 생성할 수 있는 대기업에 대한 공급망 공격의 디딤돌로 사용할 수 있기 때문에 SOHO 사용자는 더 큰 대상을 공격하려는 랜섬웨어 운영자에게 매력적이다.

 

 

 

출처
https://www.bleepingcomputer.com/news/security/ech0raix-ransomware-now-targets-both-qnap-and-synology-nas-devices/

첨부파일 첨부파일이 없습니다.
태그 eCh0raix  QNAP  Synology