랜섬웨어, 암호 무차별 대입공격으로 시놀로지 나스 장비 공격
고객들에게 시놀로지의 네트워크 및 계정 관리 설정을 사용하도록 권장
대만에 본사를 둔 스토리지 공급 업체인 시놀로지(Synology)는 그들의 나스(NAS, Network Attached Storage)가 랜섬웨어 공격을 당하자 사용자들에게 암호를 강화하라고 경고했다.
주요 시스템 백업을 포함하여 가치있는 데이터들을 보관하는 가정 및 중소기업 사용자가 사용하는 나스 장비는 랜섬웨어 공격자의 먹음직한 타깃이다. 2014년 랜섬웨어 공격자들은 패치하지 않은 회사의 리눅스 기반 디스크스테이션 메니저(DiskStation Manager)의 결함을 악용하여 수천 개의 시놀로지 디스크스테이션 장치를 공격했다. 공격자는 파일에 다시 접근할 수 있게 해주는데에 약 350달러의 가치인 비트코인 0.06개를 요구했었다.
최근 시놀로지는 나스 장치 사용자에게 공격자가 로그인 인터페이스에 수천 가지의 암호 조합을 던지는 무차별 공격을 사용하여 장치 관리자 자격증명을 훔쳤다고 경고했다.
이번 달 초에 보고된 바와 같이 랜섬웨어 공격자는 무차별 대입 공격을 사용하여 인터넷에 연결된 나스 장치를 목표로 삼았다. 이 공격은 대만업체인 QNAP의 나스 장치를 타깃으로 하여 eCh0raix라는 랜섬웨어를 감염시켰다. 그러나 7월 말 시놀로지 사용자가 온라인 포럼에서 시놀로지 장치가 랜섬웨어로 인해 암호화된 것을 보고했다. 랜섬웨어는 이제 비트코인 0.06달러(현재 583 달러 상당)을 요구하고 있다.
시놀로지의 보안 사고 대응팀 매너저인 켄 리(Ken Lee)는 "이 공격에 대한 철저한 조사 결과 침입자가 실제 IP를 숨기기 위해 봇넷 주소를 사용한 것을 확인했다. 무차별 공격으로 관리자 계정 암호를 수집한 후 공격은 7월 19일에 시작되어 사용자들의 허를 찔렀다. 우리는 이 문제를 해결하기 위한 협력을 가속화하고자 TWCERT/CC와 CERT/CC에 이 문제를 즉시 통보하였다"라고 밝혔다.
시놀로지는 인터넷 기반 공격을 막기 위해 고객들에게 시놀로지의 네트워크 및 계정 관리 설정을 사용하도록 권장하고 있다. 여기에는 제어판에서 방화벽을 활성화하고 필수 서비스에 대해서만 공용 포트를 허용하며 2단계 인증을 가능하게 하는 것이 포함된다.
러시아의 안티 바이러스 회사인 Dr.Web의 주장에 따르면 eCH0raix로 암호화된 파일의 암호를 복구할 수있는 도구는 아직 없다.
★정보보안 대표 미디어 데일리시큐!★