• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:591

台灣電腦網路危機處理暨協調中心 (Taiwan Computer Emergency Response Team / Coordination Center, TWCERT/CC) 與群暉科技 Synology® 共同合作，日前全球多個品牌 NAS 遭駭客暴力破解管理員密碼加密資料勒索的攻擊事件，已透過與國際資安組織之協作，於 7 月 26 日撤下駭客的 C&C 伺服器，控制住災情擴散。

群暉科技於 7 月 19 日開始陸續接獲用戶回報 NAS 資料遭到加密勒索，分析樣本後排除駭客利用 DiskStation Manager (DSM) 系統弱點進行攻擊，而是針對使用預設 Admin 帳戶及弱密碼的用戶進行密碼組暴力破解取得管理員權限後，加密檔案再對受害者勒索贖金。7 月 22 日，透過群暉科技全球技術支援部門統計回報受影響的群暉科技用戶達數十位，並評估全球有上萬台不同品牌的 NAS 可能暴露在風險中，為此次事件潛在受攻擊對象。群暉科技追蹤並連回駭客的 C&C 伺服器，同時通報 TWCERT/CC 啟動國際協作，並於 7 月 26 日透過丹麥 CFCS-DK 根據 IP 位置撤下駭客的 C&C 伺服器。

• 7/19
  • 群暉科技接獲用戶回報 NAS 資料遭到加密勒索
  • 分析樣本後判斷為暴力破解攻擊，排除駭客利用 DSM 的未知系統弱點進行攻擊
• 7/22
  • 透過全球技術支援部門統計回報受攻擊的群暉科技用戶有數十位
  • 調查並評估全球不分品牌有上萬台 NAS 為此次事件潛在受攻擊對象
  • 群暉科技追蹤並連回駭客的控制與命令伺服器取得樣本
  • 群暉科技通報 TWCERT/CC 請求國際協作
• 7/26
  • TWCERT/CC通報並協調丹麥 CFCS-DK， 根據 IP 位置撤下駭客的 C&C 伺服器
  • 觀察後續回報受攻擊之用戶個案數量明顯趨緩