群暉科技 Synology^® 及 TWCERT/CC 與國際資安組織展開協作，阻止全球 NAS 勒索事件擴散

Synology 產品安全事件應變團隊經理李宜謙表示，Synology 一直將保護用戶資料安全視為最重要的任務，藉由長期積極參與國際資安社群互動，Synology 得以串聯台灣與全球資安社群的網絡，在事件發生時快速與全球資安組織展開協作，讓災情不致全面性爆發。

Synology 於 7 月 19 日開始陸續接獲用戶回報 NAS 資料遭到加密勒索，分析樣本後排除駭客利用 DSM 系統漏洞進行攻擊，而是針對使用預設 Admin帳戶及弱密碼的用戶進行密碼組暴力破解取得管理員權限後，加密檔案再對受害者勒索贖金。7 月 22 日，Synology 透過全球技術支援部門統計回報受影響的 Synology 用戶達數十位，並評估全球有上萬台不同品牌的 NAS 可能暴露在風險中，為此次事件潛在受攻擊對象。是日，Synology 追蹤並連回駭客執行攻擊控制與命令的伺服器，同時通報 TWCERT/CC 啟動國際協作，並於 7 月 26 日透過丹麥的 CFCS-DK 根據 IP 位置找到攻擊來源的主機，撤下駭客用以執行攻擊的主機。

TWCERT/CC 負責人丁綺萍表示：「此次事件有賴於良好的合作關係才能快速反應、讓 TWCERT/CC 取得樣本進一步啟動跨國資安組織協作，及早掌握並控制住災情。我們期待看到更多品牌參考 Synology 的作法建置產品安全團隊，並積極與資安組織互動。」

儘管事件已獲控制，Synology 仍建議無論是 Synology 或其它品牌 NAS 用戶參考以下步驟，強化資料安全性：

• 啟用防火牆功能，僅在必要的時候開啟對外網路埠
• 啟用兩步驟驗證，阻斷惡意來源嘗試登入的可能
• 停用系統預設的「Admin」帳號
• 使用強度較強的密碼，並啟動密碼強度限制規則
• 啟用自動封鎖來阻擋嘗試登入次數過多的 IP
• 執行安全性諮詢中心來為系統做完整的安全性評估
• 啟用 Synology Hyper Backup 套件執行多版本備份，將 NAS 中的檔案備份至本地、遠端、公有雲等多個目的地，並在過程執行安全加密，限制存取權限。

瞭解更多防範勒索病毒的方法，請參考：https://www.synology.com/solution/ransomware

事件時間表

7/19 　

• 群暉科技接獲用戶回報 NAS 資料遭到加密勒索
• 分析樣本後判斷為暴力破解攻擊，排除駭客利用 DSM 系統漏洞進行攻擊

7/22 

• 透過全球技術支援部門統計回報受攻擊的 Synology 用戶有數十位
• 調查並評估全球不分品牌有上萬台 NAS 為此次事件潛在受攻擊對象
• 群暉科技追蹤並連回駭客執行攻擊控制與命令的伺服器取得樣本
• 群暉科技通報 TWCERT/CC 請求國際協作

7/26

• TWCERT/CC 通報並協調丹麥 CFCS-DK， 根據 IP 位置撤下駭客的 C&C 伺服器
• 觀察後續回報受攻擊之用戶個案數量明顯趨緩