eCh0raix 랜섬웨어 변종이 QNAP과 시놀로지(Synology) NAS 기기를 타깃으로 랜섬웨어 감염 공격을 시도하고 있는 것으로 조사됐다.

팔로알토네트웍스 유닛42 연구원들은 이번 eCh0raix 랜섬웨어 변종에 대해 “시놀로지 NAS 및 QNAP NAS 기기를 노리는 랜섬웨어 변종이다. 공격자는 취약점 CVE-2021-28799를 악용해 변종 랜섬웨어를 QNAP 장치에 배포했다”며 “eCh0raix 변종은 랜섬웨어 중 처음으로 QNAP와 시놀로지 NAS 기기를 모두 노리고 있다. 이는 일부 랜섬웨어 개발자가 계속해서 소규모 사무실 및 홈 오피스에서 일반적으로 사용하는 기기를 노리는 툴을 최적화하는데 투자하고 있다는 것을 알 수 있다”고 경고했다.

NAS 서버는 많은 데이터를 저장하고 있어 해커의 공격에 항상 타깃이 되고 있다. 공격자들은 이미 알려진 취약점을 악용하거나 브루트포싱 공격을 수행해 공격하고 있다.

이 랜섬웨어는 Go 프로그래밍 언어로 제작됐으며, AES 알고리즘을 통해 파일을 암호화한다. 암호화된 파일 이름에는 .encrypt 확장자가 추가 된다.

한편 공격자는 기기를 해킹한 후 시놀로지 NAS를 포함한 리눅스 시스템을 노린 공격에 사용되는 봇넷도 추가하고 있다는 정보다.

QNAP 및 시놀로지 NAS 기기 중 약 25만 대가 인터넷에 노출되어 있는 것으로 조사되고 있다. 위험에 노출된 기기들이다.

NAS 사용자들은 기기 펌웨어를 업데이트하고 CVE-2021-28799가 패치된 버전을 사용해야 한다. 또 로그인 정보를 복잡하게 설정해야 한다.

★정보보안 대표 미디어 데일리시큐!★