Il Ransomware eCh0raix colpisce ancora
I NAS di QNAP sono nuovamente il bersaglio di un attacco Ransomware, come hanno confermato diversi utenti e i dati statistici del servizio ID Ransomware. Il malware in questione è una vecchia conoscenza, ovvero eCh0raix. I dispositivi di QNAP sono stati colpiti da altri due ransomware nel corso dell’anno che hanno sfruttato le vulnerabilità presenti nel sistema operativo QTS.
Il ritorno di eCh0raix
I NAS più a rischio sono quelli con password deboli e sistema operativo non aggiornato. Non è noto il vettore di attacco, ma il risultato finale è la creazione di un nuovo utente con privilegi di amministratore ed installazione del Ransomware che applica la crittografia a tutti i file.
In un file di testo con estensione sbagliata (.txtt), l’hacker indica l’indirizzo di un sito Tor, sul quale sono pubblicate le istruzioni da seguire per pagare il riscatto. Se l’utente ha creato un backup dei file può semplicemente effettuare la re inizializzazione del NAS. In caso contrario ci sono due opzioni: pagare il riscatto e sperare di ricevere il “decryptor” oppure perdere tutti i dati.
QNAP suggerisce di utilizzare password più robuste per gli account amministratori, attivare la protezione degli accessi, cambiare il numero di porta, aggiornare il sistema operativo QTS e tutte le app installate.
NAS preferiti dai cybercriminali
I NAS venduti da QNAP sembrano diventare il target preferito dei cybercriminali.
Non si conosce la cifra chiesta oggi, ma un portavoce di QNAP ha confermato che sui dispositivi compromessi è installata una vecchia versione del firmware. È quindi fortemente consigliato installare le ultime versioni di QTS o QuTS Hero e aggiornare tutte le applicazioni installate.
QNAP suggerisce inoltre di non connettere il NAS direttamente ad Internet tramite port forwarding, DMZ o IP pubblico. È possibile utilizzare una VPN.
Azioni per proteggere il NAS
Il malware può entrare nel NAS connesso ad Internet se l’utente sceglie password troppo deboli.
La sua presenza si nota subito perché il consumo di RAM e CPU cresce in maniera eccessiva.
Dieci suggerimenti per ridurre il rischio di infezione:
- Aggiornare QTS all’ultima versione
- Installare l’ultima versione di Malware Remover
- Installare Security Counselor ed eseguirlo con la policy di sicurezza intermedia
- Attivare Network Access Protection (NAP) per proteggere gli account da attacchi brute force
- Installare un firewall
- Usare password robuste per gli amministratori
- Usare password robuste per gli amministratori dei database
- Disattivare i servizi SSH e Telnet, se non usati
- Disattivare app e servizi non usati
- Evitare l’uso delle porte predefinite (80, 443, 8080 e 8081)
QNAP ha promesso l’arrivo di un tool per la rimozione di Dovecat dai NAS già infettati.
Clicca qui sotto per acquistare un NAS di ottima qualità.