QNAP ransomware

Negli ultimi anni, i dispositivi NAS di QNAP (Quality Network Appliance Provider) sono stati bersaglio innumerevoli campagne ransomware, nelle quali sono state impiegate svariate versioni di ben 6 diversi ransomware.
Ma non è finita qui, gli attacchi sono stati tutti etichettati dalla stessa società come di rischio elevato o critico.

Insomma, gli hacker hanno dimostrato un vero e proprio accanimento nei confronti di questi prodotti.
Negli ultimi tempi assistiamo impotenti alla crescita degli attacchi volti a scovare le vulnerabilità, sfruttando la possibilità di effettuare accessi da remoto o anche sferrando attacchi di brute force. In questo modo potevano piazzare un ransomware senza che l’utente facesse nulla, al contrario di quanto avviene nelle campagne di phishing.

A farne le spese ancora una volta sono le piccole e medie imprese, i lavoratori autonomi e i liberi professionisti ma anche le famiglie.

In questo articolo ripercorreremo la cronologia e lo sviluppo di queste minacce, soffermandoci in particolar modo sull’analisi dei diversi tipi di ransomware protagonisti degli attacchi recenti e sulle motivazioni che spingono gli hacker ad accanirsi su questi dispositivi.

1. Che cosa è un NAS

2. Perché QNAP è presa così spesso di mira

3. Ech0raix

4. Muhstik

5. Agelocker

6. Qlocker

7. DeadBolt

8. Checkmate

9. Conclusioni

Il termine NAS è un acronimo che sta ad indicare il Network Attached Storage. Parliamo di un dispositivo, collegabile ad una qualsiasi rete sia domestica che aziendale, apposito per la archiviazione, la gestione e la condivisione dei file che contiene. I file  contenuti in un NAS sono protetti da crittografia e ci sono alcune funzioni che prevengono virus e malware.

Un NAS può archiviare:

• Foto
• Video
• Musica
• Documenti di testo

Queste sue caratteristiche lo rendono ottimo per un impiego in famiglia, dove diverse persone desiderano accedere alle foto o ai video che li ritraggono ciascuna dal suo dispositivo personale, ma soprattutto nelle aziende, dove rappresenta una preziosa alternativa ai servizi cloud. Agevola lo scambio di informazioni tra i dipendenti e la sincronizzazione di file, quindi rappresenta uno strumento prezioso per lo smart working. Inoltre alcuni modelli sono in grado di conservare grandi moli di dati senza costi mensili, eseguire backup automatici di PC e dispositivi mobili.

Nota la scia di attacchi informatici che si è abbattuta sui Nas sorge spontanea la domanda:

Quali sono i fattori che li rendono degli obiettivi così ambiti?
Si potrebbe immaginare che nello specifico l’azienda non protegga adeguatamente i dispositivi di sua produzione ma non sembra essere questo il caso.

Purtroppo, capita sempre più spesso che siano proprio gli utenti di un’azienda, con l’inosservanza delle best practice raccomandate ad esporsi ai rischi informatici.

La vera motrice che spinge gli hacker ad accanirsi sui prodotti QNAP, però, è la tipologia di dispositivi che l’azienda produce.
I NAS hanno come funzione principale l’archiviazione dati. Ovviamente nel caso di attacchi informatici indirizzati ad aziende i NAS sono l’obiettivo principale a cui mirare.

Infine, QNAP è la società più famosa che tratta questo tipo di device e la loro ampia diffusione (circa 320.000 NAS connessi ad Internet a livello globale di cui circa 30.000 unità in Italia) fa sì che un attacco mirato possa facilmente colpire un’azienda.

Questo malware ha attaccato i NAS di QNAP per la prima volta nel 2019 tramite attacchi di brute force.
I suoi sviluppatori hanno continuato tenacemente a creare versioni aggiornate del malware lanciando periodicamente intere ondate di attacchi.
L’ultima di queste risale a dicembre 2021 ed è durata sino a febbraio 2022.

Gli attaccanti riuscivano a creare un utente con privilegi di amministratore e una volta raggiunte le risorse aziendali riuscivano a criptare tutti i file. Una volta prese in ostaggio le risorse, gli attaccanti davano indicazioni di dove erano pubblicate le informazioni per il recupero dei dati.

La stessa compagnia NAS ha reso noto che dispositivi QNAP più a rischio di incappare in questa minaccia avevano credenziali di accesso e password deboli inoltre, altra caratteristica imprescindibile per la buona riuscita dell’attacco era il firmware QTS obsoleto.

Per proteggersi da questo attacco, anche in futuro, la società consiglia di:

• Aggiornare il QTS e il Security Counselor e in generale tutte le componenti aggiornabili

• Usare una password amministratore robusta

• Abilitare la protezione dell’accesso alla rete

• Disabilitare i servizi SSH e Telnet se non si usano

• Non utilizzare i numeri di porta predefiniti 443 e 8080.

Sempre a partire dal 2019 un altro ransomware ha preso di mira i Nas di QNAP. Erano vulnerabili in particolar modo i dispostivi che avevano password deboli per il server SQL e che eseguono phpMyAdmin. Il ransomware che sfruttava le debolezze del NAS in questo caso era Muhstik ransomware. La minaccia era in grado di sfruttare tecniche di brute forcing per violare una password debole in phpMyAdmin e installare il malware.

La storia di questo ransomware è assai breve poiché pare che i creatori del malware abbiano deciso di prendersela con la persona sbagliata.
Nel 2019 venne colpito anche il dispositivo di archiviazione di Tobias Frömel, un programmatore tedesco che reagì all’attacco mettendosi a studiare il codice sorgente della minaccia.

In breve tempo il programmatore riuscì ad individuare il server utilizzato dai pirati informatici per controllare il malware e riuscì a sottrarre l’intero database con le chiavi usate per crittografare i file sui NAS compromessi.

I NAS sono finiti nel mirino di Agelocker ransomware per la prima volta nel giugno 2020.

Questo ransomware utilizza lo strumento di crittografia “Age”, progettato da un dipendente di Google come sostituto di GNU Privacy Guard (GPG) per criptare file, backup e stream. Riuscire a decifrate la crittografia di AgeLocker era quasi impossibile poiché sfruttava algoritmi X25519, ChaChar20-Poly1305 e HMAC-SHA256, tra i metodi più affidabili per criptare file.

Il file che contiene la richiesta di riscatto è denominato: HOW_TO_RESTORE_FILE.txt. I file criptati dal ransomware hanno estensione .sthd2.

In ottica di prevenzione del QNAP Cryptolocker, i consiglia di mantenere aggiornati gli antivirus, di installare tutte le patch (aggiornamenti di sicurezza) offerti dalla casa madre, disattivare i servizi non necessari sulle postazioni di lavoro e sui server e limitare i permessi utente.

La prima campagna di ransomwareQlocker contro i NAS di QNAP risale al 19 aprile del 2021 ma un ulteriore focolaio è stato rilevato agli inizi del 2022. Il cryptolocker sfruttava vulnerabilità di HBS con patch.

Sfruttando tale vulnerabilità, il ransomware poteva ottenere un livello di autorizzazione admin tale da inserire un codice malevolo nel sistema e cancellare tutte le snapshot e comprimere i file dell’utente. Questa volta i malviventi hanno utilizzato un archivio 7-zip, adatto alla conservazione e gestione di file compressi.

I file erano su questo programma protetti da una password, nota solo agli aggressori e dall’estensione .7z. L’attacco al contrario di quanto avviene di solito era visibile infatti sullo schermo apparivano dei segnali dell’esecuzione di processi “7z”. Successivamente un file “!!!READ_ME.txt” forniva una chiave unica per l’accesso ad un sito Tor sul quale effettuare il pagamento.

L’azienda si è impegnata immediatamente per indagare sul malware e produrre degli aggiornamenti immuni alle vulnerabilità sfruttate, inoltre ha previsto un percorso di identificazione del tentativo di intrusione indicando i sintomi per le diverse categorie.

Il 25 Gennaio del 2022 DeadBolt si è affacciato sulla scena, già popolosa, dei ransomware che prendono di mira i NAS QNAP sfruttando la presenza di vulnerabilità zero-day. Questa volta però la richiesta di riscatto appariva direttamente sulla pagina di accesso.

Il messaggio recitava: “AVVERTENZA: i tuoi file sono stati bloccati da DeadBolt”

indicando anche un wallet diverso per ogni vittima sul qual era necessario inviare i Bitcoin.
I file sono tutti rinominati con l’estensione .deadbolt. Anche in questo caso l’azienda ha consigliato l’aggiornamento di tutte le componenti aggiornabili all’ultima versione disponibile, adoperandosi per correggere le vulnerabilità e rilasciare ulteriori aggiornamenti più sicuri nel minore tempo possibile.

Per ultimo, a partire da giugno 2022 si è scatenato Checkmate. Agisce sempre tramite un attacco di brute force nei confronti dei dispositivi collegati alla rete con servizio SMB abilitato. Cripta tutte le cartelle condivise e generando in ciascuna un avviso “!CHECKMATE_DECRYPTION_README”.

Le raccomandazioni per prevenire questo ransomware per il quale non esiste ancora una decrittazione sono:

• Disabilitare SBM o non esporlo ad internet

• Collegarsi al web tramite VPN

• Aggiornare il sistema operativo e le applicazioni

• Utilizzare password complesse, prima misura per la difesa contro gli attacchi a dizionario

• Conservare backup aggiornati offline

• Non connettersi a reti pubbliche o non sicure

• Abilitare il blocco automatico e la MFA

Appare chiaro che gli hacker non hanno intenzione di desistere ed è quindi inevitabile che tutti gli utenti, così come QNAP devono fare la loro parte per permettere una fruizione sicura dei dati conservati e condivisi tramite i NAS.

Backup e aggiornamenti dovrebbero essere oramai pane quotidiano così come l’utilizzo di password robuste, inoltre è sconsigliato collegare il dispositivo ad Internet senza la protezione di una VPN. Di conseguenza, una ulteriore strategia difensiva risulta la valutazione meditata dell’accesso ad Internet e l’inabilitazione dei processi inutili.

Le ondate di attacchi si fanno sempre più ravvicinate nel tempo. Praticamente ogni mese un nuovo malware o una nuova versione di un malware già noto viene segnalata. Proprio per questo l’azienda è molto attiva negli interventi con aggiornamenti costanti, fix di sicurezza periodici frequenti comunicazioni tempestive sullo stato delle minacce e sulle azioni intraprese per difendere gli utenti.

A questo punto non resta che seguire i suggerimenti proposti per massimizzare le probabilità di scampare ai danni conseguenti un ransomware.