lunedì 28 settembre 2020

Il ransomware AgeLocker cripta i NAS QNAP...ma prima ruba i dati

Ancora un ransomware pensato per colpire nello specifico i NAS QNAP:  dopo QSnatch e QNAPCrypt, i ricercatori di sicurezza hanno individuato, già in uso in attacchi reali, un nuovo ransomware chiamato AgeLocker. 

AgeLocker mira esclusivamente i dispositivi NAS QNAP, sempre più largamente usati per lo storage di grandi quantità di dati, ma anche per i backup. Insomma, un obiettivo molto ghiotto e sicuramente più facile da colpire rispetto a sistemi di storage e backup aziendali complessi. Il copione, come detto, non è nuovo: AgeLocker cripta i dati e richiede un riscatto, ma si premura anche di rubare tutti i dati salvati sul dispositivo al momento dell'attacco. 

Per la criptazione AgeLocker usa un algoritmo di criptazione poco utilizzato, chiamato Age (Actually Good Encryption), dal quale deriva il nome del malware stesso: è un algoritmo nato allo scopo di sostituire GPG nella criptazione di file, backup e flussi. I file criptati da questo ransomware sono facilmente individuabili: al momento della criptazione infatti, AgeLocker antepone un header testuale ai dati criptati, contenente l'URL age-encryption.org


La nota di riscatto viene rilasciata, in formato .TXT, al termine della criptazione: il file si chiama HOW_TO_RESTORE_FILES.txt. Nell'immagine sotto è visibile la nota di riscatto: 


AgeLocker è in distribuzione da Luglio 2020
AgeLocker non è, nei fatti, un ransomware nuovo. Già nel Luglio 2020 furono segnalate infezioni da parte di un nuovo ransomware, chiamato AgeLocker che usava appunto l'algoritmo AGE per la criptazione dei file. E' però dalla fine di Agosto di quest'anno che AgeLocker "si è dato da fare", come ha spiegato il ricercatore Michael Gillespie, esperto di ransomware e che, per primo, ha individuato l'algoritmo di criptazione AGE. 

Come mitigare il rischio
Purtroppo, ad ora, non è chiaro come gli attori che operano con AgeLocker riescano ad ottenere l'accesso ai NAS QNAP e non è ancora stata individuata una soluzione per riportare in chiaro i file criptati senza pagare il riscatto. 

Data la situazione è consigliabile seguire le indicazioni di mitigazione che QNAP ha fornito in occasione dell'ondata di attacchi ad opera del ransomware QNAPCrypt, per assicurarsi di eseguire la versione più recente del firmware e di aver risolto alcune vulnerabilità note. 

1. Fai il login  come Amministratore;
2. Vai nel Pannello di Controllo > Sistema > Update del Firmware
3. Sotto Live Update, fai clic su Cerca per Update

Verrà così ricercato e installato l'update più recente disponibile. La stessa operazione può essere compiuta anche da Supporto > Download Center, eseguendo quindi un update manuale. 

QNAP suggerisce anche di aggiornare il software Photo Station: 

1. Fai il login  come Amministratore;
2. Apri l'APP Center quindi fai click sulla search box;
3. Cerca "Photo Station"e premi Entra;
4. nella finestra che si apre, clicca su Update. 

Il tasto Update non sarà disponibile se è già in uso la versione più recente. Se invece è disponibile, il clic sul bottone avvierà il download e installazione dell'update: a fine processo dovrebbe mostrarsi un messaggio di conferma. 

Infine, QNAP consiglia anche le seguenti operazioni:

  • cambia le password di tutti gli account attivi sul dispositivo;
  • elimina ogni account utente sconosciuto dal dispositivo;
  • elimina tutte le applicazioni sconosciute o inutilizzate dal dispositivo;
  • imposta una lista di controllo per gli accessi al dispositivo (Pannello di Controllo > Sicurezza > Livello di Sicurezza). 

Nessun commento:

Posta un commento