发布编号：TACERT-ANA-2022071101071717

发布时间：2022-07-11 13:44:19

事故类型：ANA-攻击预警

发现时间：2022-07-08 13:44:19

影响等级：中

 

[主旨说明:]

【攻击活动讯息】QNAP 提醒用户近期出现针对使用者密码强度不足的装置发动之 Checkmate 勒赎攻击

 

[内容说明:]

 

转发 台湾电脑网络危机处理暨协调中心(TWCERT/CC)

在 QNAP 发表的资安通报中指出，Checkmate 勒赎攻击主要针对【使用者密码强度不足】，开启了 SMB Windows 档案分享服务，且装置直接连上 Internet 的 NAS 装置，发动字典档暴力试误登入攻击；如果装置使用默认登入帐号与弱密码，就很可能遭到骇侵者成功登入，并将装置上的档案进行加密。

 

[影响平台:]

开启SMB Windows 档案分享服务，且装置直接连上 Internet 的 NAS 装置。

 

[建议措施:]

1.避免直接让装置的 SMB 服务在外部 Internet 上曝露；如需自外网连线装置的 SMB 协定，可参照该公司提供的操作指南，透过 VPN 连线来进行资料存取。

2.停用 SMB 1。

3.将使用中的 QNAP 装置更新到最新版 QNAP 作业系统。

4.立即审视所有 NAS 上的使用者帐号，确认密码强度足够。

5.定期备份档案并执行档案快照作业。

6.将系统默认的 admin 帐号停用，改用其他不容易被猜到的帐号设定为系统管理员专用帐号。

7.在系统防火墙中设定规则，将多次尝试登入失败的 IP 列入黑名单，禁止再次连线。

 

[参考资料:]

1. https://www.qnap.com/en/security-advisory/qsa-22-21

2. QNAP warns of new Checkmate ransomware targeting NAS devices

3. QNAP 提醒用户近期出现针对使用者密码强度不足的装置发动之 Checkmate 勒赎攻击

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw