Il ransomware QNAPCrypt è stato individuato per la prima volta nel Giugno 2019, ma è stato quasi subito "sconfitto": dopo le segnalazioni di alcuni utenti colpiti dall'infezione ransomware, alcuni ricercatori avevano prodotto un tool capace di decriptare i file. L'algoritmo di criptazione presentava dei bug, nella nota di riscatto era presente la chiave pubblica di criptazione: tutti strumenti che furono utili al tempo per scardinare la criptazione e riportare i file in chiaro senza pagare il riscatto.
Per approfondire >> Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!
In questi giorni è in corso però una nuova campagna di diffusione del ransomware: i dati provenienti da ID-Ransomware (servizio di supporto alle vittime di ransomware), parlano chiaro. Dal 1°Giugno è in corso una campagna di diffusione di una nuova versione del ransomware e le segnalazioni hanno subito una forte impennata.
Gli attacchi sono mirati: l'operatore di QNAPCrypt tenta di accedere ai dispositivi sia sfruttando vulnerabilità conosciute ma anche col più classico attacco di brute-forcing di credenziali deboli. Una volta ottenuto l'accesso, procede all'installazione del ransomware, che si attiva subito e cripta tutti i file presenti nel dispositivo. L'estensione di criptazione aggiunta ai file criptati non è cambiata dalla versione precedentemente in diffusione ed è ancora .encrypted: il nome file invece non viene modificato.
Anche la nota di riscatto è immutata e si chiama README_FOR_DECRYPT.txt: contiene il link al sito di pagamento via TOR e ad una pagina che spiega come installare il browser TOR. La richiesta di riscatto ammonta a circa 500 dollari, ma dalla nota di riscatto è scomparsa la chiave pubblica di criptazione.
Le vittime segnalano anche di aver trovato, al termine dell'infezione, alcune app QNAP dai nomi strani e non installate volontariamente nell'APP Center del dispositivo.
Non è chiaro se si tratti di applicazioni dannose installate dal gestore del ransomware oppure app personalizzate che sono state criptate e che quindi non vengono più lette correttamente.
La brutta notizia è che il decryptor che era stato rilasciato in precedenza non funziona più perchè lo sviluppatore del ransomware ha corretto e risolto le debolezze e vulnerabilità del codice del malware. Purtroppo ad ora non esiste una maniera di riportare in chiaro i file senza pagare il riscatto, a meno che non fosse attivato un sistema di backup o il servizio di QNAP Snapshot.
Se il servizio Snapshot era attivato in precedenza, è possibile usare lo snapshot per recuperare i dati.
Consigli per proteggersi da QNAPCrypt
Consigliamo ai possessori di NAS QNAP di proteggere i propri dispositivi seguendo queste indicazioni contenute nell'apposito alert di QNAP:
- aggiornare QTS alla versione più recente;
- installare e aggiornare all'ultima versione il Security Counselor;
- cambiare la password dell'utente amministratore e sceglierne una solida;
- abilitare la Network Access Protection per proteggere il dispositivo da attacchi di brute force;
- usare il minimo indispensabile le porte 443 e 8080;
- abilitare il servizio QNAP Snapshot;
- disabilitare i servizi SSH e Telnet, a meno che non siano necessari.
Nessun commento:
Posta un commento