lunedì 20 giugno 2022

Nuova ondata di attacchi ransomware contro i NAS QNAP: di nuovo eChoraix


Stiamo ricevendo molteplici richieste di assistenza da parte di utenti italiani i cui dispositivi NAS QNAP sono stati colpiti da attacco ransomware. I dati sono confermati dal picco registrato anche dalla piattaforma ID Ransomware, che consente alle vittime, caricando un file criptato e la nota di riscatto, di avere informazioni sul tipo di infezione subita.

eCHoraix, conosciuto anche come QNAPCrypt, colpisce ad ondate i clienti QNAP almeno dal 2019. Le campagne di attacco come detto procedono ad ondate, con alcuni picchi e momenti di drastica riduzione dell'attività. In ogni caso non colpisce specificatamente in Italia: le campagne di attacco avvengono a livello mondiale. eChoraix infatti colpisce i dispositivi QNAP esposti in internet con attacchi di brute-force, ma nel tempo si è dotato anche di una serie di strumenti utili a sfruttare vulnerabilità note dei NAS QNAP. 

Dalla prima campagna del 2019, eChroaix ha colpito con altre ondate, nel Giugno 2020, nel Maggio 2020 e con un vero e proprio bombardamento a tappeto (sfruttando credenziali deboli) nel Dicembre 2021, proprio sotto le feste di Natale. 

L'ultima campagna, attualmente in corso, sembra aver avuto inizio l'8 Giugno ma ancora non è chiaro quale sia il vettore di attacco utilizzato. Da questo punto di vista quindi occorrerà attendere che il produttore pubblichi nuovi dettagli. La peculiarità di questa campagna è che se in passato eChoraix colpiva sia NAS QNAP che NAS Synology, questa volta si trovano conferme di infezioni solo sui dispositivi QNAP. 

In attesa di ulteriori dettagli, mitigate i rischi!

QNAP ha pubblicato, a più riprese, alert relativi al rischio di attacchi ransomware e, in particolare, per attacchi potenziali con eChoraix, consiglia, come provvedimenti minimi, i seguenti:

  • usare password solide per l'account amministratore;
  • abilitare l'IP Acces Protection per proteggere gli account dagli attacchi di brute-forcing;
  • non utilizzare le porte di default 443 e 8080, che sono quelle scansionate di default dagli attaccanti. 

Non solo: QNAP ha invitato tutti gli utenti a disabilitare:

  • la funzione di Port Forwarding del router, tramite l'interfaccia di gestione del router stesso;
  • la funzione  Abilita inoltro porta UPnP(Universal Plug and Play) del NAS.

UPnP è un'insieme di protocolli di rete non sicuri senza criptazione e autenticazione fornito come supporto per le comunicazioni peer-to-peer tra i dispositivi. Consente ai dispositivi di accede e lasciare la rete dinamicamente, ottenere indirizzi IP ecc... Lo scopo è la semplificazione della condivisione dei dati e una comunicazione più veloce e semplice per i dispositivi di rete. Il problema è che attaccanti remoti possono abusare di questo insieme di protocolli. Ecco perché QNAP ha consigliato che il NAS rimanga protetto dal router e dal firewall senza un indirizzo IP pubblico. 

Qui ci sono anche utili indicazioni per disabilitare le connessioni SSH e Telnet.


Non solo eChoraix: attenti a DeadBolt

Le bad news per i possessori di NAS QNAP non finiscono qua. Qualche settimana fa QNAP ha pubblicato anche un alert specifico su campagne di attacco, in corso, per la distribuzione dei payload del ransomware DeadBolt. 

"Stando alle analisi del QNAP Product Security Incident Response Team, l'attacco prende di mira i dispositivi NAS  che usano QTS 4.3.6 e QTS 4.4.1. I modelli colpiti sono principalmente la serie TS-X51 e TS-x53" si legge nell'alert.

Sono comunque ancora in corso le analisi sulla campagna attuale.

Per saperne di più > Ancora NAS QNAP, ancora ransomware: DeadBolt colpisce in Europa, Italia compresa


Se hai bisogno di supporto e assistenza...

Ricordiamo che entrambe le criptazioni, DeadBolt e eChoraix, non sono attualmente risolvibili gratuitamente. Sono invece decriptabili le infezioni avvenute nel 2019. Se hai bisogno di supporto e assistenza contattaci all'indirizzo email alessandro@nwkcloud.com o visita il sito https://www.decryptolocker.it

Nessun commento:

Posta un commento