Speravate di poter partire per le vacanze tranquilli, invece è -di nuovo- tempo di update.

Questa volta dovremo aggiornare i nostri NAS basati su Linux, nello specifico quelli forniti da un’azienda molto famosa nel campo, soprattutto per quanto riguarda l’uso domestico e di piccole/medie azienda: la taiwanese QNAP.

La scoperta è stata fatta dai ricercatori di due aziende di security differenti, Intezer ed Anomali, che hanno scoperto questo attacco di tipo ransomware, ovvero di quelli che vanno a criptare il contenuto dei dischi ed a richiedere una sorta di riscatto (tipicamente in criptovalute) per ottenere la chiave di decrittazione.

Battezzato come QNAPCrypt dalla prima ed eCh0raix dalla seconda, il ransomware scritto in linguaggio Go va a criptare file con specifiche estensioni usando l’algoritmo AES ed aggiungendo l’estensione “.encrypt” agli stessi; ma ci sono due punti molto curiosi nel funzionamento di questo attacco.

Il primo è sicuramente dato dal fatto che, a quanto pare, i NAS che si trovano in Bielorussia, Ucraina o Russia non vengono attaccati; o meglio, vengono attaccati ma il ransomware termina senza danneggiare alcun file.

Il secondo è che prima di procedere alla criptazione, questo software si collega al suo server di controllo remoto che si trova all’interno della rete Tor, utilizzando poi un proxy Tor per notificare gli attaccanti riguardo le nuove vittime; nulla di strano, se non fosse che tutto questo è stato fatto senza includere funzionalità Tor nel ransomware (il che, tendenzialmente, lo rende di più difficile indicazione, essendo uno dei campanelli di allarme più comune per questo tipo di eseguibili).

Questo viene usato per associare all’attaccante un wallet Bitcoin (semplificando potremmo dire un contro) univoco e preso da un pool ben definito di wallet e, proprio questo funzionamento ha permesso alle aziende di sicurezza di cui sopra di mitigare, al momento, l’attacco. Già, perchè essendo definito il gruppo di “portafogli” utilizzabili, ed essendo a conoscenza (grazie all’identificazione del malware) di come uno di questi viene riservato alla vittima, è stato possibile replicare i pacchetti in questione andando a riservare tutti e 1091 wallet attualmente presenti nel pool.

Inoltre pare sia possibile trovare il modo di decriptare i file senza dover pagare la cauzione degli stessi, grazie ad una piccola disattenzione nell’uso del seme per la generazione della chiave di criptazione.

Malware initializes the math random page with the seed of the current time. Since it is using the math’s package to generate the secret key, it is not cryptographically random, and it is likely possible to write a decryptor

Il malware inizializza la pagina casuale usando l’ora attuale come seme. Visto che viene utilizzato il pacchetto math per generare la chiave segrata, questa non è criptograficamente casuale, ed potrebbe essere possibile scrivere un decrittatore

Anomali da quindi speranza a chi è stato attaccato, anche se viene pure sottolineato che le tipologie di NAS QNAP attaccati (quelli usati per file storage e backup) eseguono tipicamente software antivirus, ma che solo 2-3 di questi sono in grado di riconoscere effettivamente l’attacco.

Il consiglio per proteggersi, al momento, è questo: tenete aggiornato il firmware del vostro NAS, evitate di collegarlo direttamente ad internet e, come sempre, utilizzare password forti e non riutilizzate per altri servizi; ovviamente lo state già facendo un backup (e no, non su un NAS), vero?

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.