상세 컨텐츠

본문 제목

eCh0raix 랜섬웨어 변종, QNAP과 Synology의 NAS 기기 노려

국내외 보안동향

by 알약4 2021. 8. 11. 09:00

본문

 

 

New eCh0raix ransomware variant targets NAS devices from both QNAP and Synology vendors

 

eCh0raix 랜섬웨어의 새로운 변종이 QNAPSynologyNAS 기기를 감염시키는 것으로 나타났습니다.

 

eCh0raix 랜섬웨어는 2019년부터 활동을 시작했으며, 보안 회사인 IntezerAnomali의 전문가들이 NAS 기기를 노리는 랜섬웨어 샘플을 각각 발견했습니다.

 

NAS 서버는 많은 데이터를 저장하고 있어 해커의 귀중한 타깃이 됩니다. 랜섬웨어는 보호 장치가 허술하거나 취약점이 존재하는 QNAPNAS 서버를 노린 것으로 나타났습니다. 공격자들은 이미 알려진 취약점을 악용하거나 브루트포싱 공격을 수행했습니다.

 

Intezer에서 "QNAPCrypt", Anomali에서 "eCh0raix"로 명명한 이 랜섬웨어는 Go 프로그래밍 언어로 작성되었으며, AES 알고리즘을 통해 파일을 암호화합니다. 암호화된 파일의 이름에는 .encrypt 확장자가 추가됩니다.

 

지난 5, QNAP은 공격자가 eCh0raix 랜섬웨어를 통해 NAS기기를 노리며 Roon Server 제로데이 취약점을 악용한다고 고객에 경고했습니다.

 

또한 QNAPeCh0raix 랜섬웨어가 취약한 암호를 사용하는 QNAP NAS 장치를 감염시키고 있다는 정보를 입수했습니다.

 

전문가들 또한 4 19일부터 26일 사이에 eCh0raix 랜섬웨어 감염 보고가 급증하는 것을 확인했습니다.

 

동일한 기간에 해당 업체는 사용자에게 현재 진행 중인 AgeLocker 랜섬웨어 공격에 대해 경고했습니다.

 

Anomali 연구원은 2019Synology NAS 기기를 노린 eCh0raix 공격에 대해 보고했습니다. 당시 공격자는 NAS 기기에 브루트포싱 공격을 수행했습니다.

 

그리고 지금, Palo Alto Networks Unit 42 연구원들은 사상 처음으로 두 업체의 NAS 기기를 지원하는 새로운 변종을 발견했습니다.

 

Palo Alto 연구원들은 아래와 같이 설명했습니다.

 

“Unit 42 연구원들은 Synology NAS 및 QNAP NAS 기기를 노리는 eCh0raix 랜섬웨어의 새로운 변종을 발견했습니다. 공격자는 CVE-2021-28799를 악용해 새로운 eCh0raix 랜섬웨어 변종을 QNAP 장치에 배포합니다. eCh0raix는 이전에는 별도의 캠페인을 통해 QNAP과 Synology NAS 장치를 노리는 랜섬웨어로 알려져 있었지만, 이 새로운 변종은 랜섬웨어 중 처음으로 QNAP와 Synology의 NAS 기기를 모두 노리고 있습니다. 이는 일부 랜섬웨어 개발자가 계속해서 소규모 사무실 및 홈 오피스(SOHO)에서 일반적으로 사용하는 기기를 노리는 툴을 최적화하는데 투자하고 있다는 것을 보여줍니다."

 

Cortex Xpanse 플랫폼의 데이터에 따르면, QNAP Synology NAS 기기 중 약 25만 대가 인터넷에 노출되어 있는 것으로 나타났습니다.

 

이 공격의 배후에 있는 랜섬웨어 그룹은 QNAP NAS에 존재하는 취약점인 CVE-2021-28799를 악용하여 QNAP NAS 기기에 접근하며, Synology NAS에서는 브루트포싱 공격을 수행합니다.

 

지난주, Synology StealthWorker 봇넷이 랜섬웨어 배포할 목적으로 브루트포싱 공격을 수행 중이라 고객에 경고한 바 있습니다.

 

공격자는 기기를 해킹한 후 Synology NAS를 포함한 리눅스 시스템을 노린 공격에 사용되는 봇넷에 해당 기기를 추가시켰습니다.

 

연구원들은 홈 오피스를 랜섬웨어 공격으로부터 보호하기 위해 아래 조치를 취할 것을 권장했습니다.

 

1. 기기의 펌웨어 업데이트하기 - CVE-2021-28799를 패치하는 QNAP NAS 기기 업데이트에 대한 세부 정보는 QNAP 웹사이트에서 확인할 수 있습니다.

2. 로그인 비밀번호를 복잡하게 설정해 브루트포싱 공격을 더욱 어렵도록 만들기

3. 기기에 랜섬웨어를 배포하는 네트워크 공격을 방지하기 위해 하드코딩된 인식된 IP 목록에서만 SOHO 연결 장치에 연결할 수 있도록 제한하기

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Linux.Generic.210359', 'Trojan.GenericKD.37310182' 등으로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120994/cyber-crime/ech0raix-ransomware-qnap-synology.html

https://unit42.paloaltonetworks.com/ech0raix-ransomware-soho/

관련글 더보기

댓글 영역