Migliaia di dispositivi QNAP NAS sono stati infettati dal malware QSnatch
Gli hacker hanno infettato migliaia di dispositivi NAS (Network-Attached Storage) dal fornitore taiwanese QNAP con un nuovo ceppo di malware chiamato QSnatch .
Oltre 7000 infezioni sono state segnalate nella sola Germania, ha affermato oggi il team tedesco di risposta alle emergenze informatiche (CERT-Bund) . Altre migliaia sono ritenute infette in tutto il mondo, in quello che sembra essere un focolaio in corso.
Le informazioni su come funziona QSnatch sono ancora scarse, al momento della scrittura. L’unico rapporto arriva dal National Cyber Security Centre of Finland (NCSC-FI), la prima organizzazione di sicurezza informatica a individuare il malware la scorsa settimana.
I membri NCSC-FI non hanno ancora scoperto in che modo questa nuova minaccia si diffonde e infetta i sistemi NAS QNAP; tuttavia, una volta ottenuto l’accesso a un dispositivo, QSnatch si inserisce nel firmware per ottenere la persistenza del riavvio.
Un’analisi del codice del malware ha rivelato le seguenti funzionalità:
- Modifica lavori e script a tempo del sistema operativo (cronjob, script init)
- Impedisci futuri aggiornamenti del firmware sovrascrivendo gli URL di origine degli aggiornamenti
- Impedisce l’esecuzione dell’app QNAP MalwareRemover nativa
- Estrae e ruba nomi utente e password per tutti gli utenti NAS
Queste funzionalità descrivono le capacità del malware ma non rivelano il suo obiettivo finale. Non è chiaro se QSnatch è stato sviluppato per eseguire attacchi DDoS, per eseguire il mining nascosto di criptovaluta o semplicemente come modo per backdoor i dispositivi QNAP per rubare file sensibili o ospitare payload di malware per operazioni future.
Una teoria è che gli operatori di QSnatch sono attualmente nella fase in cui stanno costruendo la loro botnet e distribuiranno altri moduli in futuro. Gli analisti NCSC-FI hanno confermato che QSnatch è in grado di connettersi a un comando e controllo remoto, scaricare e quindi eseguire altri moduli.
TRATTARE CON UN’INFEZIONE
Per il momento, l’unico metodo confermato per rimuovere QSnatch è stato quello di eseguire un ripristino di fabbrica completo del dispositivo NAS.
Alcuni utenti hanno riferito che l’installazione di un aggiornamento del firmware del NAS QNAP di febbraio 2019 risolve anche il problema; tuttavia, né NCSC-FI, né il fornitore, hanno confermato che ciò rimuove QSnatch o impedisce future reinfezioni.
Per il momento, si consiglia ai proprietari di NAS QNAP di disconnettere i propri dispositivi da Internet.
Altri consigli condivisi dagli analisti NCSC-FI sulla gestione delle conseguenze di un’infezione da QSnatch includono:
- Modifica tutte le password per tutti gli account sul dispositivo
- Rimuovere gli account utente sconosciuti dal dispositivo
- Assicurarsi che il firmware del dispositivo sia aggiornato e che anche tutte le applicazioni siano aggiornate
- Rimuovere le applicazioni sconosciute o non utilizzate dal dispositivo
- Installa l’applicazione QNAP MalwareRemover tramite la funzionalità App Center
- Imposta un elenco di controllo di accesso per il dispositivo (Pannello di controllo -> Sicurezza -> Livello di sicurezza)
QSnatch è la quarta varietà di malware rilevata quest’anno che ha preso di mira i dispositivi NAS, seguendo le orme di una varietà di ransomware che ha avuto un impatto sui dispositivi Synology e le varietà di ransomware eCh0raix e Muhstik che hanno avuto un impatto sui dispositivi QNAP.
