QNAP advierte a sus usuarios que protejan sus dispositivos contra el malware QSnatch

QNAP
Estándar

El fabricante de almacenamiento conectado a la red (NAS) QNAP insta a sus clientes a proteger sus dispositivos NAS contra una campaña maliciosa en curso que los infecta con el malware QSnatch capaz de robar credenciales de usuario.

QNAP aconseja a los usuarios que instalen la última versión de la aplicación Malware Remover para el sistema operativo QTS que se ejecuta en los dispositivos NAS de la compañía lo antes posible.

Las versiones de Malware Remover 3.5.4.0 y 4.5.4.0 ahora son capaces de eliminar QSnatch después de que la compañía haya agregado nuevas reglas el 1 de noviembre.

QNAP ha dicho: “Se insta a los usuarios a instalar la última versión de la aplicación Malware Remover del Centro de aplicaciones QTS o mediante descarga manual desde el sitio web de QNAP”.

Investigadores del Centro Nacional de Seguridad Cibernética de Finlandia (NCSC-FI) descubrieron a finales de octubre que miles de dispositivos NAS QNAP habían sido infectados con QSnatch, que había insertado un código malicioso en el firmware del dispositivo.

El malware recolecta y extrae las credenciales de los usuarios que se encuentran en los dispositivos NAS comprometidos y también es capaz de cargar el código malicioso recuperado de sus servidores de comando y control (C2).

El equipo de respuesta a emergencias informáticas de Alemania (CERT-Bund) dijo en ese momento que, según los datos de puntos de muestra, alrededor de 7,000 dispositivos NAS en Alemania se vieron afectados por infecciones QSnatch.

NCSC-FI descubrió que QSnatch se inyecta en el firmware de los dispositivos QNAP NAS durante la etapa de infección y el código malicioso se ejecuta como parte de las operaciones normales dentro del dispositivo.

Después de infectar el firmware, el dispositivo se ve comprometido y el malware utiliza algoritmos de generación de dominio para recuperar más código malicioso de los servidores C2.

La carga útil que descarga del servidor C2 se inicia en dispositivos NAS QNAP infectados con derechos del sistema y realizará las siguientes acciones:

  • Se modifican los trabajos programados y los scripts del sistema operativo (cronjob, scripts de inicio)
  • Las actualizaciones de firmware se evitan al sobrescribir completamente las fuentes de actualización
  • La aplicación QNAP MalwareRemover no puede ejecutarse
  • Todos los nombres de usuario y contraseñas relacionados con el dispositivo se recuperan y se envían al servidor C2
  • El malware tiene capacidad modular para cargar nuevas funciones de los servidores C2 para otras actividades.
  • La actividad de llamar a casa a los servidores C2 está configurada para ejecutarse con intervalos establecidos

QNAP aconseja a los usuarios que tomen las siguientes medidas para defenderse contra las infecciones:

  1. Actualice QTS a la última versión.
  2. Instale y actualice Security Counselor a la última versión.
  3. Use una contraseña de administrador más segura.
  4. Habilite la protección de IP y acceso a la cuenta para evitar ataques de fuerza bruta.
  5. Deshabilite las conexiones SSH y Telnet si no está utilizando estos servicios.
  6. Evite usar los números de puerto predeterminados 443 y 8080

La compañía también proporciona procedimientos detallados paso a paso sobre cómo cambiar las contraseñas de los dispositivos, habilitar la protección de acceso de IP y de cuentas, deshabilitar las conexiones SSH y Telnet y cambiar el número de puerto del sistema.

Esta no es la primera vez que los dispositivos NAS de QNAP han estado bajo asedio con la compañía emitiendo un aviso de seguridad a principios de Octubre sobre dispositivos con contraseñas débiles del servidor SQL y ejecutando phpMyAdmin siendo atacados por el ransomware Muhstik.

En agosto se publicó otro aviso sobre una campaña de ransomware llamada eCh0raix (también conocida como QNAPCrypt) dirigida a dispositivos NAS QNAP con contraseñas débiles y firmware QTS obsoleto.

En mayo de 2018, QNAP también notificó a sus clientes sobre los ataques continuos de malware VPNFilter que intentaban infectar dispositivos NAS con contraseñas de cuentas de administrador predeterminadas que se ejecutaban en QTS 4.2.6 compilación 20170628 o en QTS 4.3.3 compilación 20170703 y versiones anteriores.