computer-2038627_960_720.jpg

新興勒索病毒AgeLocker是在今年(2020)7月被發現,該勒索病毒特徵為並非使用其他勒索病毒常見的AES、RSA等加密演算法,而是使用密碼學家與軟體工程師Filippo Valsorda所開發的加密工具–Age(Actually Good Encryption),對受害者的文件進行加密攻擊,因此該勒索病毒被命名為「AgeLocker」。

在AgeLocker被發現之後,隨著該勒索病毒的擴散及攻擊案例增加,於8月底時,發現AgeLocker針對NAS儲存設備進行攻擊,以Age加密演算法將受害主機內檔案進行加密,並且創建一名為HOW_TO_RESTORE_FILES.txt之文字檔,告知受害者其檔案已經被加密,必須支付贖金方能取回主機中的重要檔案。

在9月中旬,國內也有數個學術單位被發現遭到AgeLocker攻擊,原先儲存眾多學術資訊的NAS設備檔案都已消失,僅留有一封攻擊者留下的勒索通知信於其中。而相關資安單位在透過FTP傳檔軟體連線至受害NAS的資料夾後,便發現那些遭勒索病毒加密的檔案,但這些受到加密的檔案,卻會出現兩種不同的副檔名。推測是因Age加密演算法中使用了X25519、ChaChar20-Poly1305以及HMAC-SHA256等三種演算法,因此推測AgeLocker會根據檔案的大小不同而使用不同的加密方式,才會出現兩種不同的副檔名。

國內儲存設備大廠立即進行相關之調查,並發佈之新聞稿,其資訊指出此次事件中,多數的受害裝置為macOS與Linux系統。但經詳細檢閱後,NAS設備中的QTS等作業系統並無尚未修補之資安漏洞或弱點,且目前該廠商所接獲之已知案例中,大多數都為尚未更新至最新版本之舊版QTS系統。因此,該廠商建議使用者應立即更新NAS設備之作業系統以及各APP版本,以避免仍存有資安漏洞威脅。此外,使用者也應維持良好之使用習慣,包括維持密碼強度、安裝防毒軟體等,以確保設備的安全性。該廠商善盡社會責任配合相關資安單位,針對此次事件進行深入的調查分析,提供使用者擁有足夠安全性、完整性的NAS設備。

  • 建議措施:
    • 管理者應檢查並更新至其使用的NAS設備型號最新的可用版本,並維持定期更新的習慣。
    • 除了NAS設備的系統版本之外,對設備中所有已安裝的應用程式,都應立即更新為最新版本。
    • 維持密碼的強度要求,不應為一時方便而使用弱密碼。
    • 建議安裝廠商提供之惡意軟體掃描程式等防護軟體,減少病毒威脅的機率,並參考廠商提供之最佳實務指南,達到最佳防護成效。。
    • 檢閱設備中的帳號及應用程式,移除可疑的帳號/應用程式。

  • 參考資料:
    • https://www.qnap.com/zh-tw/news/2020/共同對抗-agelockerqnap-呼籲用戶進行系統更新並維持良好使用習慣
    • https://www.bleepingcomputer.com/news/security/agelocker-ransomware-targets-qnap-nas-devices-steals-data/
    • https://portal.cert.tanet.edu.tw/docs/pdf/2020092303095959489195257290368.pdf
    • https://www.qnap.com/zh-tw/how-to/faq/article/提升-nas-安全性的最佳做法為何
arrow
arrow

    twcert 發表在 痞客邦 留言(0) 人氣()