資料來源:台灣電腦網路危機處理暨協調中心

https://www.twcert.org.tw/tw/cp-104-5549-6bea3-1.html

 

去年曾針對台灣網路儲存大廠 QNAP 各型網路儲存裝(Network Attached Storage,  NAS) 裝置,發動大規模攻擊的 Qlocker 勒贖軟體,近期據報又開始進行世界性的攻擊。

據資安專業媒體 BleepingComputer 報導指出,該媒體是在今(2022)年 1 月 6 日起觀測到 Qlocker 再次開始攻擊行為;受到攻擊的 QNAP NAS 裝置,如同去年的攻擊行動,裝置內儲存的檔案,會遭到駭侵者以 .7z 壓縮軟體加密壓縮,且每個資料夾內都會被新增一個 !!!READ_ME.txt 勒贖信檔案,表示受害者所有的檔案均已遭加密。

勒贖信中也要脅,受害者若不到指定的 Tor 暗網網址 gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion 中,依指示支付 0.02 到 0.03 枚比特幣的贖金,就無法取得解密用的密碼。

BleepingComputer 統計指出,去年 Qlocker 發動的攻擊中,一個月內就取得超過 35 萬美元的不法獲利;當時的贖款是 0.01 比特幣,依當時幣價約為 500 美元。

據 QNAP 針對 Qlocker 新攻勢發布的資安通報指出,未感染的用戶,應立即使用內建的 Security Conselor 檢查 NAS 裝置是否曝露於外網,如檢查結果出現「The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP」的文字,表示該裝置可由外網直接透過未加密的 http 連線連入,風險較高,應儘速依該通報指示,關閉路由器的 Port Forwarding 功能,關閉對外的 Port 80 與 443,並且關閉 NAS 的 UPnP 功能,並升級至最新版作業系統與應用程式,以避免外網直接連入。

QNAP 也提醒用戶,QNAP 確認惡意程式使用近期已修補的漏洞進行攻擊,建議各位用戶盡快進行更新。