QNAP ผู้จำหน่าย Network-attached storage (NAS) เตือนผู้ใช้งานให้เฝ้าระวังอุปกรณ์จากการถูกโจมตีโดย Checkmate ransomware

QNAP กล่าวว่าการโจมตีมุ่งเป้าไปที่อุปกรณ์ QNAP ที่เข้าถึงได้จากอินเทอร์เน็ต โดยมีการเปิดใช้งาน SMB และมีรหัสผ่านที่ไม่รัดกุม ซึ่งอาจทำให้สามารถถูกเดารหัสผ่านได้อย่างง่ายดาย

จากการตรวจสอบเบื้องต้นพบว่า *Checkmate ransomware* สามารถโจมตีผ่านโปรโตคอล SMB ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และใช้การโจมตีแบบ dictionary attack เพื่อโจมตีบัญชีที่มีรหัสผ่านที่ไม่รัดกุม

Checkmate เป็นแรนซัมแวร์ตัวใหม่ที่ถูกค้นพบเมื่อเร็วๆ นี้ ซึ่งถูกใช้ในการโจมตีเมื่อประมาณวันที่ 28 พฤษภาคม ซึ่งจะต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .checkmate และทิ้งข้อความเรียกค่าไถ่ชื่อ !CHECKMATE_DECRYPTION_README

จากบันทึกเรียกค่าไถ่ที่ BleepingComputer ตรวจพบ ผู้โจมตีบังคับให้เหยื่อจ่ายเงิน Bitcoin มูลค่า 15,000 ดอลลาร์เพื่อแลกกับการถอดรหัส และคีย์ถอดรหัส

จากข้อมูลของ QNAP ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้จะ remote เข้าสู่ระบบในอุปกรณ์ด้วยบัญชีที่ถูกโจมตี หลังจากเข้าถึงได้พวกเขาจะเริ่มเข้ารหัสไฟล์ในโฟลเดอร์

วิธีป้องกันการโจมตีจาก Checkmate ransomware

QNAP เตือนผู้ใช้งานไม่ควรเปิดให้เข้าถึง NAS ของตนได้จากอินเทอร์เน็ต และใช้ VPN ในการเข้าถึงแทน นอกจากนี้ผู้ใช้งาน QNAP ควรใช้รหัสผ่านที่มีความรัดกุม และทำการตรวจสอบบัญชี NAS ทั้งหมดในปัจจุบันของตน และทำการสำรองไฟล์ไว้อย่างสม่ำเสมอ

ควรปิดการใช้งาน SMB 1 โดยผู้ที่ใช้ QTS, QuTS hero หรือ QuTScloud ให้ไปที่ Control Panel > Network & File > Win/Mac/NFS/WebDAV > Microsoft Networking, เลือก "SMB 2 or higher" หลังจากคลิก Advanced Options.