勒索软件锁定NAS用户，包括群晖科技、威联通用户都应提高警觉

勒索软件近日锁定NAS用户发动攻击，加密使用者文件资料，包括台湾NAS储存业者群晖科技（Synology）以及威联通（QNAP）的使用者，都在这一波的攻击内。

群晖科技安全事件应变组经理李宜谦表示，光7月20日～21日这个周末就有数十名，使用预设账号Admin和弱密码的用户，遭到勒索软件暴力破解密码后，进行档案加密后并勒索赎金。

李宜谦表示，群晖科技分析勒索软件样本后发现，攻击群晖科技用户的样本特性，如同先前威胁情资业者Anomali发现的，锁定对台湾NAS业者威联通的恶意程式一样，样本都有对群晖科技和威联通的暴力破解模组。他说：“从攻击样本来看，群晖科技和威联通有着高度相似的处境，都可能是被同一个骇客集团锁定攻击。”

骇客加密NAS的资料档，要求赎金1.8万元

群晖科技周末接到使用者通报后便紧急进行样本分析，李宜谦指出，他们连回骇客掌控的控制与命令（C2）服务器、抓回样本后发现，在样本中的残留资讯有“Stealth Worker”的字串，推测这个攻击应该是由Stealth Worker，这个原先锁定电子商务业者窃取帐密和金流资讯的骇客组织所发动的新一波攻击。

他进一步表示，这些受害的使用者都是遭到骇客以暴力破解密码并取得管理者权限后，加密资料夹中的档案，锁定加密的附档名多为.doc、.docx或者是.pdf等，系统槽并没有被加密；而且，目前骇客所使用的这个加密算法并没有瑕疵，还没有破解之道。

他也说，当使用者的资料夹被加密后，被攻击的储存区会放一个说明档，要求使用者使用洋葱Tor浏览器连线到某特定网址后，便有说明档要求受害者支付赎金0.06个比特币（大约为新台币1.8万元）。

避免使用Admin账号以及弱密码，尽速升级新版DSM

原本，群晖科技担心是储存操作系统DSM（DiskStation Manager ）本身或是特定系统安全性漏洞，导致此次的骇客攻击，但李宜谦说，在团队分析样本后发现，骇客攻击对象其实遍及市面上各种NAS品牌和型号，只要是使用预设Admin管理者账号并且使用包括123456等弱密码的用户，骇客便利用字典档暴力破解使用者密码后，就可以进一步加密NAS资料夹中的文件档案。

早期许多NAS业者的储存操作系统，都会预设Admin作为管理者账号，李宜谦说，在DSM 5.1版之后，该公司已经要求使用者不要使用预设的Admin作为管理者账号，并要求使用强密码以确保使用者帐密安全。

他指出，目前台湾NAS用户超过九成五都已经升级到最新版DSM 6.2版，遭到攻击概率已经大幅降低，而其他尚未升级新版DSM并且使用强密码的用户，应该尽速升级并提升密码强度，甚至可以搭配使用Google的OTP机制，以强化账号密码的安全性。

这一波骇客在7月19日发动新一波攻击，透过随机IP隐匿行踪并作为攻击跳板，“群晖科技已经通报TWCERT/CC与CERT/CC，透过国际联防的协同合作，共同解决这一起骇客锁定NAS用户的攻击事件。”李宜谦说道。