Miles de dispositivos
NAS (Network Attached Storage o Almacenamiento conectado a la red, en español)
del proveedor taiwanés QNAP se han visto afectados por una nueva variedad de malware
llamada QSnatch. Únicamente en Alemania se han reportado más de 7.000
infecciones y el malware continúa extendiéndose.
Esta es la cuarta
cepa de malware detectada este año que se ha dirigido a dispositivos NAS,
siguiendo los pasos del ransomware que afectó a los dispositivos Synology, y de
eCh0raix y Muhstik que afectaron a dispositivos QNAP.
Tan solo en Alemania
se han reportado más de 7.000 infecciones de QSnatch, según el CERT-Bund
(Equipo Alemán de Respuesta a Emergencias Informáticas). Pero se estima que la
cifra puede ser muy superior, con dispositivos infectados en todo el mundo.
La semana pasada, el
Centro Nacional de Seguridad Cibernética de Finlandia (NCSC-FI) alertaba de
esta nueva versión de malware. Aunque aún no se ha descubierto cómo se propaga
e infecta los sistemas NAS QNAP, un análisis del código fuente de QSnatch ha
revelado que dispone de las siguientes capacidades:
·
Modificar
tareas y scripts programados (cronjob y scripts de inicio).
·
Evitar
actualizaciones de firmware sobrescribiendo las URL de origen de la
actualización.
·
Impedir
que se ejecute la aplicación nativa QNAP MalwareRemover.
·
Extraer
y robar nombres de usuario y contraseñas de todos los usuarios del dispositivo
NAS.
Además, una vez
obtenido acceso a un dispositivo, QSnatch inyecta código malicioso en el
firmware para obtener persistencia ante el reinicio del mismo.
QSnatch es capaz de
realizar varias actividades maliciosas en un dispositivo infectado: ataques
DDoS, minar criptomonedas, actuar como puerta trasera para robar archivos
sensibles, o alojar cargas de malware para futuros ciberataques. Además, debido
a que QSnatch tiene la capacidad de conectarse a un servidor C2 remoto para
descargar nuevos módulos y ejecutarlos posteriormente, se especula que
actualmente podría encontrarse en la fase de creación de una botnet para
desplegar ataques en un futuro.
Por el momento, el
único método confirmado para eliminar QSnatch consiste en realizar un
restablecimiento completo de fábrica del dispositivo NAS infectado. Aunque
según algunas fuentes, la instalación de una actualización de firmware que QNAP
liberó en febrero de 2019 también solucionaría el problema.
Por el momento, se
recomienda a los propietarios de NAS QNAP que dichos dispositivos no estén
expuestos a Internet sin firewalls para evitar ataques externos.
Otros consejos
compartidos por los analistas de NCSC-FI para tratar las consecuencias de una
infección QSnatch incluyen:
·
Cambiar
todas las contraseñas para todas las cuentas en el dispositivo.
·
Eliminar
cuentas de usuario desconocidas del dispositivo.
·
Asegurarse
de que el firmware del dispositivo esté actualizado y que todas las
aplicaciones también estén actualizadas.
·
Eliminar
aplicaciones desconocidas o no utilizadas del dispositivo.
·
Instalar
la aplicación QNAP MalwareRemover a través de la funcionalidad de App Center.
·
Establecer
una lista de control de acceso para el dispositivo (Control panel -> Security
-> Security level).
Más información:
QSnatch – Malware designed for QNAP NAS devices https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices
Thousands of QNAP NAS devices have been infected with the
QSnatch malware https://www.zdnet.com/article/thousands-of-qnap-nas-devices-have-been-infected-with-the-qsnatch-malware/#ftag=RSSbaffb68
Fuente: Hispasec