พบมัลแวร์เรียกค่าไถ่ ech0raix เริ่มกลับมาระบาดอีกครั้ง ควรปิด NAS ไม่ให้เข้าถึงจากอินเทอร์เน็ต

By: lew

on 20 June 2022 - 10:28 Tags:

Topics:

ID Ransomware บริการระบุมัลแวร์เรียกค่าไถ่ (ransomware) รายงานว่ามัลแวร์ในกลุ่ม ech0raix ที่มุ่งเรียกค่าไถ่จาก NAS เช่น QNAP และ Synology กลับมาระบาดเพิ่มขึ้นอีกครั้ง หลังจากระบาดหนักช่วงเดือนมกราคมและลดลงไป

แม้ ech0raix จะโจมตี NAS แบรนด์หลักทั้งสองยี่ห้อ แต่รอบนี้ทาง ID Ransomware พบการโจมตี QNAP เป็นหลัก โดยตอนนี้ยังไม่ชัดเจนว่าเหตุใดการโจมตีจึงเพิ่มขึ้น เพราะ ID Ransomware เป็นบริการที่เปิดให้ผู้ใช้ส่งตัวอย่างไฟล์เพื่อตรวจสอบสายพันธุ์มัลแวร์เท่านั้น ไม่ได้ตรวจสอบตัวมัลแวร์โดยตรงหรือตรวจสอบการโจมตี

ech0raix เป็นมัลแวร์ตัวหนึ่งที่เคยมีการโจมตีในไทยช่วงปีที่ผ่านมา ที่ผ่านมาทาง QNAP แนะนำให้ลูกค้าตั้งรหัสผ่านให้แข็งแรง, ไม่เปิดให้ผู้ใช้เข้าถึง NAS จากอินเทอร์เน็ต, ปิด UPnP ในเราท์เตอร์, และหมั่นอัพเดตซอฟต์แวร์เสมอ

ที่มา - Bleeping Computer

Hiring! บริษัทที่น่าสนใจ

Exzy

Futuristic Technology Solution Development Company. We develop our own signature product.

T2P Company Limited.

T2P: Leading Fintech startup,raising funds from (500Startups,500TukTuks,Benchachinda,DTAC,J Venture)

iApp Technology Co., Ltd.

ผู้เชี่ยวชาญด้านปัญญาประดิษฐ์ Artificial Intelligence (AI) สำหรับภาษาไทย (NLP) และหุ่นยนต์ (Robots)

Comments

By: KuLiKo

on 20 June 2022 - 12:24 #1252682

เปิดไม่ให้ใช้งาน NAS ผ่านอินเตอร์เน็ตก็เท่ากับปิดจุดเด่นของ NAS ที่จะใช้แทน cloud เลยน่ะสิ 😑

By: Ford AntiTrust

on 20 June 2022 - 12:42 #1252685 Reply to:1252682

คำแนะนำแรกในการติดตั้ง NAS คืออย่าให้เข้าถึงจาก internet โดยตรงเสียด้วยซ้ำ หากอยากเชื่อมต่อกับ NAS ผ่าน internet ให้ต่อด้วย VPN เข้ามาก่อนเสมอ

By: iqsk131 on 20 June 2022 - 16:17 #1252712 Reply to:1252685

เคยเปิด ssh ไว้ แปปเดียวโดนรุม login เข้ามาไม่หยุดเลย เปลี่ยนพอร์ทก็ไม่รอด อันตรายมากจริงๆครับ

By: lew

on 20 June 2022 - 16:19 #1252714 Reply to:1252712

ssh ของ NAS นี่มันแย่อีกอย่างคือมันปิด password auth ไม่ได้ด้วย

lewcpe.com, @wasonliw

By: lew

on 20 June 2022 - 14:16 #1252693 Reply to:1252682

ผมว่าเป็นคำแนะนำที่อิงการใช้งานจริงครับ คือถ้าองค์กรที่ใหญ่สักหน่อย SME หลักร้อยคนแล้วมีคนดูแลเต็มเวลา อัพแพตช์เสมอ backup เต็มรูปแบบก็น่าจะเปิดได้

แต่ user ปกตินี่เอาแค่เปิด auto update ก็หาทางปิดมันตลอดแล้ว อย่าพูดถึง best practice พวกการตั้งรหัสหรือการเปิด 2FA ถ้าเป็นแบบนั้นก็ปิดแล้วซ่อนไปหลัง VPN น่าจะดีกว่า

lewcpe.com, @wasonliw

By: iqsk131 on 20 June 2022 - 16:22 #1252715 Reply to:1252682

เข้าใจว่า NAS มันสามารถเลือกเปิดบาง Service ได้ครับ เช่น ปล่อยให้เข้าถึงบริการ Drive/Photo ผ่านอินเทอร์เน็ตได้ ส่วนการเข้าถึงระบบ NAS โดยตรงก็เลือกปิดไปไม่ให้มันเข้าถึงจากข้างนอกได้อยู่ครับ แค่นี้ก็น่าจะปลอดภัยในระดับนึงและยังคงความสามารถของมันได้อยู่ครับ

By: Bigkung

on 20 June 2022 - 16:51 #1252716 Reply to:1252715

มันเป็นการเรียกค่าไถ่นี่ครับ เข้าถึง Drive/Photo ได้ก็แทบจะจบภารกิจแล้วเหลือแค่เข้าถึงสิทธฺ์การเขียนข้อมูลเพื่อเข้ารหัสไฟล์

By: iqsk131 on 20 June 2022 - 17:05 #1252718 Reply to:1252716

อ่าาา อันนี้มัน ransomware นี่นะ ถึงไม่ได้สิทธิในการตั้งค่าอะไรถ้าอ่านเขียนได้ก็พังข้อมูลได้อยู่ดี...

ปล. แต่ถ้าแค่เปิด web service เฉยๆแล้วโดน ransomware ได้... ต่อให้ไม่ใช่ NAS แต่เป็น Cloud ทั่วไปมันก็น่าจะมีโอกาสโดนพอๆกันหรือเปล่าครับ? (แต่ Cloud เจ้าดังๆทั้งหลายเขาก็มี backup ไว้แหละ)

By: lew

on 20 June 2022 - 17:20 #1252722 Reply to:1252718

cloud ดังๆ ไม่พลาดง่ายๆ อย่างพวก ban IP ครับ login ผิดไปสองสามรอบก็โดนมาตรการ rate limit สารพัดแล้ว ไม่รวมถึงกระบวนการพวก 2FA ทั้งหลาย ตลอดจนการอัพเดตซอฟต์แวร์ไม่ให้มีช่องโหว่ (มันอาจจะมีช่องโหว่เฉพาะส่วนแอป Drive/Photos ก็ได้)

lewcpe.com, @wasonliw

Main menu