Os pesquisadores do Network Security Research Lab informaram que dispositivos QNAP sem patch estão sendo hackeados para mineração de criptomoedas.
Dispositivos de armazenamento conectado à rede (NAS) não corrigidos são alvos de ataques contínuos em que os invasores tentam assumi-los e instalar malware criptominer para explorar a criptomoeda.
Os atores da ameaça exploram duas vulnerabilidades de execução remota de comando (RCE) de pré-autenticação no aplicativo Helpdesk corrigido pela QNAP em outubro de 2020.
O malware de criptomineração descoberto em dispositivos NAS comprometidos durante esta campanha foi nomeado UnityMiner por pesquisadores do Network Security Research Lab (360 Netlab) da Qihoo 360.
O relatório diz:
“Percebemos que o invasor personalizou o programa ocultando o processo de mineração e as informações reais de uso de recursos de memória da CPU, então quando os usuários QNAP verificam o uso do sistema através da interface de gerenciamento WEB, eles não podem ver o comportamento anormal do sistema.”
360 Netlab informou a QNAP sobre a campanha de criptominação em andamento no dia 3 de março, um dia após notar os ataques.
Todos os dispositivos NAS com firmware QNAP lançado antes de agosto de 2020 estão vulneráveis a esses ataques.
Os pesquisadores descobriram 4.297.426 dispositivos QNAP NAS potencialmente vulneráveis online usando o sistema de mapeamento ciberespaço 360 Quake da empresa.
Mesmo que a QNAP não tenha publicado um comunicado para alertar os clientes sobre os ataques ativos, a empresa pediu aos clientes no mês passado que atualizassem os aplicativos Surveillance Station e Helpdesk para corrigir as vulnerabilidades de segurança descobertas recentemente.
“Para garantir a segurança de seu QNAP NAS, os usuários são instados a instalar suas atualizações aplicáveis o mais rápido possível”, disse a QNAP.
“Juntamente com essas atualizações de software e avisos de segurança publicados, a QNAP também enviou e-mails de notificação individuais para usuários conhecidos do Surveillance Station, para minimizar o impacto causado pelo problema.”
Em janeiro, a QNAP alertou os clientes sobre outra série de ataques que infectam e exploram os dispositivos NAS da QNAP para extrair bitcoins sem seu conhecimento.
Esse aviso veio após um artigo da base de conhecimento da QNAP em novembro explicando que os dispositivos NAS que executam processos dovecat e dedpma estão comprometidos e estão executando um malware de minerador de Bitcoin.
Dispositivos NAS sob cerco
Os dispositivos NAS da QNAP estão sob ataque há algum tempo, com os clientes sendo avisados sobre infecções de malware QSnatch e Muhstik Ransomware em setembro e outubro de 2019.
Uma campanha eCh0raix Ransomware (também conhecida como QNAPCrypt) também teve como alvo dispositivos QNAP NAS com firmware QTS desatualizado e senhas fracas durante agosto de 2019.
Mais recentemente, em setembro de 2020, a QNAP informou os clientes sobre uma onda de ataques AgeLocker Ransomware em dispositivos NAS expostos publicamente.
Todos os proprietários de QNAP NAS devem passar pela seguinte lista de verificação para proteger seu NAS e verificar a existência de malware:
- Alterar todas as senhas de todas as contas no dispositivo
- Remover contas de usuários desconhecidos do dispositivo
- Certifique-se de que o firmware do dispositivo está atualizado e todos os aplicativos também estão atualizados
- Remover aplicativos desconhecidos ou não usados do dispositivo
- Instale o aplicativo QNAP MalwareRemover por meio da funcionalidade do App Center
- Defina uma lista de controle de acesso para o dispositivo (Painel de controle -> Segurança -> Nível de segurança)
Detalhes técnicos adicionais para o malware de criptominação UnityMiner e uma lista de todas as versões de firmware conhecidas como vulneráveis estão disponíveis no relatório do 360 Netlab.
FONTE: EDIVALDO BRITO