Synology cảnh báo ransomware lây nhiễm thiết bị lưu trữ NAS

Ginny Hà

VIP Members
04/06/2014
88
689 bài viết
Synology cảnh báo ransomware lây nhiễm thiết bị lưu trữ NAS
Nhà sản xuất NAS Synology có trụ sở tại Đài Loan cảnh báo khách hàng về botnet StealthWorker đang nhắm mục tiêu phát tán ransomware tới các thiết bị lưu trữ gắn trong mạng.

Theo PSIRT (Nhóm Ứng phó Sự cố An ninh Sản phẩm) của Synology, các thiết bị NAS của Synology bị xâm nhập sau đó sử dụng để tiếp tục tấn công nhiều hệ thống Linux.
Synology.jpg

Trong cảnh báo an ninh, Synology cho biết: “Các cuộc tấn công này lợi dụng một số thiết bị lây nhiễm để thử và đoán thông tin đăng nhập quản trị. Nếu thành công, hacker sẽ truy cập vào hệ thống để cài đặt payload độc hại, có thể bao gồm ransomware”.

Các thiết bị lây nhiễm có thể thực hiện các cuộc tấn công vào các thiết bị dựa trên Linux khác, bao gồm cả NAS Synology”.

Hãng đang phối hợp với nhiều tổ chức CERT trên toàn thế giới để gỡ bỏ cơ sở hạ tầng của mạng botnet bằng cách tắt tất cả các máy chủ C&C đã phát hiện bị ảnh hưởng.

Synology đang thông báo tới khách hàng có khả năng bị ảnh hưởng bởi các cuộc tấn công nhắm vào thiết bị NAS của họ.

Cách phòng thủ trước các cuộc tấn công

Nhà sản xuất NAS hối thúc các quản trị viên hệ thống và khách hàng thay đổi thông tin đăng nhập quản trị bảo mật yếu, kích hoạt tính năng bảo vệ tài khoản, tự động chặn cũng như thiết lập xác thực đa yếu tố nếu có thể.

Synology hiếm khi đưa ra cảnh báo an ninh về các cuộc tấn công nhắm tới khách hàng của mình. Cảnh báo gần đây nhất về việc lây nhiễm ransomware sau các cuộc tấn công brute-force quy mô lớn là từ tháng 7/2019.

Hãng khuyến cáo người dùng thực hiện các việc sau để bảo vệ thiết bị NAS trước các cuộc tấn công:

- Sử dụng mật khẩu phức tạp và mạnh cũng như áp dụng các quy tắc về độ mạnh của mật khẩu cho tất cả người dùng.

- Tạo tài khoản mới trong nhóm quản trị viên và vô hiệu hóa tài khoản "quản trị viên" mặc định của hệ thống.

- Bật Tự động chặn trong Bảng điều khiển để chặn các địa chỉ IP có quá nhiều lần đăng nhập không thành công.

- Chạy Security Advisor để đảm bảo không có mật khẩu yếu trong hệ thống.

"Chúng tôi đặc biệt khuyên bạn nên bật Tường lửa trong Bảng điều khiển và chỉ cho phép các cổng công cộng cho các dịch vụ khi cần thiết và bật xác minh 2 bước để ngăn chặn đăng nhập trái phép", hãng cho biết thêm.

Bạn cũng có thể bật Snapshot để bảo vệ NAS trước các ransomware dựa trên mã hóa”.

Mặc dù Synology không chia sẻ thêm thông tin liên quan đến mã độc được sử dụng trong chiến dịch, nhưng có vẻ đó là mã độc StealthWorker được Malwarebytes phát hiện từ cuối tháng 2/2019.

Hai năm trước, StealthWorker đã được sử dụng để xâm nhập các trang web thương mại điện tử bằng cách khai thác lỗ hổng Magento, phpMyAdmin và cPanel để triển khai skimmer lấy cắp thông tin cá nhân và thanh toán.

Tuy nhiên, như Malwarebytes đã lưu ý vào thời điểm đó, mã độc cũng có khả năng brute force (dò mật khẩu) để đăng nhập vào các thiết bị tiếp xúc với Internet sử dụng mật khẩu được tạo tại chỗ hoặc từ danh sách thông tin đăng nhập đã có được trước đó.

Từ tháng 3/2019, các hacker sử dụng StealthWorker đã chuyển sang phương pháp chỉ sử dụng brute force để quét Internet tìm các máy chủ dễ bị tấn công với thông tin xác thực mặc định hoặc yếu.

Sau khi được triển khai trên một máy bị xâm nhập, mã độc sẽ tiến hành các giai đoạn tiếp theo trên cả Windows và Linux.

Mặc dù nhà sản xuất NAS không đưa thông tin, nhưng khách hàng đã báo cáo vào tháng 1 rằng thiết bị của họ bị nhiễm mã độc mã hóa Dovecat Bitcoin [1, 2] bắt đầu từ tháng 11/2020, trong một chiến dịch cũng nhắm mục tiêu đến các thiết bị QNAP NAS.

Nguồn: Bleeping Computer
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
linux ransomware synology
Bên trên