QSnatch

qsnatch Se sabe que una amenaza de malware denominada QSnatch apunta a dispositivos NAS (almacenamiento conectado a la red) fabricados por QNAP Systems, Inc., con sede en Taiwán. Los investigadores de malware en el Centro Nacional de Seguridad Cibernética de Finlandia (NCSC-FI) fueron los primeros en detectar la actividad de este nueva amenaza a mediados de octubre de 2019. Un análisis detallado de los informes automáticos proporcionados por el servicio Autoreporter patentado del Centro les permitió exponer una serie de dispositivos de almacenamiento infectados con QSnatch que intentaban establecer comunicación con servidores remotos de C&C (Comando y Control). Aunque los expertos finlandeses inicialmente creían que estaban tratando con el malware Caphaw adaptado a MS Windows, una inspección exhaustiva de la comunicación C2 reveló que los principales objetivos del malware eran dispositivos NAS QNAP. Desde entonces, QNAP Systems, Inc. ha emitido actualizaciones de firmware destinadas a neutralizar QSnatch de todos sus dispositivos infectados.

QPosible Daño potencial

Los investigadores aún tienen que determinar los vectores de infección (IV) desplegados por los delincuentes a cargo para difundir QSnatch entre el hardware de QNAP. Sin embargo, lo que sí saben es que QSnatch coloca su código malicioso directamente en el firmware del dispositivo host y luego lo ejecuta como un proceso legítimo en QTS, el sistema operativo a medida NAS de QNAP. Una vez que se ejecuta, QSnatch intenta establecer una conexión con servidores C&C remotos presumiblemente operados por los mismos delincuentes cibernéticos. Si tiene éxito, dicha conexión permitiría a QSnatch recuperar malware adicional en el dispositivo infectado a través de "HTTP GET https: // /qnap_firmware.xml?=t " solicitud.

Una vez que esto se haya completado, el malware QSnatch podrá causar un gran revuelo en el host comprometido. Dependiendo del módulo o módulos maliciosos actualmente recuperados del servidor C2 (con más potencial debido a la capacidad modular de QSnatch), QSnatch puede ser capaz de:

  • Evitar que las aplicaciones y el firmware apliquen actualizaciones, ya que esto podría alterar su comportamiento malicioso.
  • Deshabilitar la aplicación QNAP MalwareRemover si los usuarios han instalado este programa en sus PC.
  • Trayendo nuevo malware del servidor C&C de los atacantes.
  • Alterando los programadores de trabajo activos basados en tiempo (cronjobs) y los archivos de inicio (scripts de inicialización que se ejecutan para iniciar los procesos necesarios como parte del proceso de arranque).
  • Recolectar todas las credenciales de inicio de sesión y los archivos de configuración del sistema presentes en el host infectado y transferirlos al servidor C&C de sus operadores.

Eliminar QSnatch de un dispositivo infectado

En respuesta a los informes iniciales del 25 de octubre de 2019 sobre el ataque de malware QSnatch, QNAP Systems proporcionó rápidamente una actualización de firmware en vivo para el sistema operativo QTS accesible desde el menú del panel de control QTS. El proveedor también lanzó una actualización para su aplicación Malware Remover disponible en el centro de aplicaciones de QTS. Si bien esas nuevas versiones de Malware Remover (3.5.4.2 y 4.5.4.2, respectivamente) deberían ser suficientes para eliminar QSnatch de los dispositivos infectados, los usuarios también deberían cambiar sus credenciales de inicio de sesión ya comprometidas para evitar la reinfección. Por último, pero no menos importante, QNAP ha instado a los clientes a instalar la aplicación QTS Security Counselor (que también se encuentra en el QTS App Center) para llevar la seguridad de la red de sus dispositivos NAS a un nivel superior.

Además de los pasos mencionados anteriormente, los usuarios de NAS pueden y deben recurrir a una serie de acciones para proteger sus dispositivos de futuros ataques, que incluyen, entre otros:

  • Mantenerse alejado de los números de puerto predeterminados: 8080/81, 443, 80 y 22, por nombrar solo algunos
  • Activando la protección IP contra intentos de fuerza bruta
  • Eliminar cuentas inactivas, aplicaciones sospechosas y aplicaciones / servicios no utilizados (servidor web, servidor SQL, SSH, Telnet, etc.)

Puede encontrar orientación adicional sobre cómo implementar las medidas descritas anteriormente en el aviso de seguridad del Sistema QNAP dedicado específicamente al QSnatch Malware.

Tendencias

Mas Visto

Cargando...