QNAP a rischio: un ransomware per Linux attacca i NAS

Speravate di poter partire per le vacanze tranquilli, invece è -di nuovo- tempo di update.

Questa volta dovremo aggiornare i nostri NAS basati su Linux, nello specifico quelli forniti da un’azienda molto famosa nel campo, soprattutto per quanto riguarda l’uso domestico e di piccole/medie azienda: la taiwanese QNAP.

La scoperta è stata fatta dai ricercatori di due aziende di security differenti, Intezer ed Anomali, che hanno scoperto questo attacco di tipo ransomware, ovvero di quelli che vanno a criptare il contenuto dei dischi ed a richiedere una sorta di riscatto (tipicamente in criptovalute) per ottenere la chiave di decrittazione.

Battezzato come QNAPCrypt dalla prima ed eCh0raix dalla seconda, il ransomware scritto in linguaggio Go va a criptare file con specifiche estensioni usando l’algoritmo AES ed aggiungendo l’estensione “.encrypt” agli stessi; ma ci sono due punti molto curiosi nel funzionamento di questo attacco.

Il primo è sicuramente dato dal fatto che, a quanto pare, i NAS che si trovano in Bielorussia, Ucraina o Russia non vengono attaccati; o meglio, vengono attaccati ma il ransomware termina senza danneggiare alcun file.

Il secondo è che prima di procedere alla criptazione, questo software si collega al suo server di controllo remoto che si trova all’interno della rete Tor, utilizzando poi un proxy Tor per notificare gli attaccanti riguardo le nuove vittime; nulla di strano, se non fosse che tutto questo è stato fatto senza includere funzionalità Tor nel ransomware (il che, tendenzialmente, lo rende di più difficile indicazione, essendo uno dei campanelli di allarme più comune per questo tipo di eseguibili).

Questo viene usato per associare all’attaccante un wallet Bitcoin (semplificando potremmo dire un contro) univoco e preso da un pool ben definito di wallet e, proprio questo funzionamento ha permesso alle aziende di sicurezza di cui sopra di mitigare, al momento, l’attacco. Già, perchè essendo definito il gruppo di “portafogli” utilizzabili, ed essendo a conoscenza (grazie all’identificazione del malware) di come uno di questi viene riservato alla vittima, è stato possibile replicare i pacchetti in questione andando a riservare tutti e 1091 wallet attualmente presenti nel pool.

Inoltre pare sia possibile trovare il modo di decriptare i file senza dover pagare la cauzione degli stessi, grazie ad una piccola disattenzione nell’uso del seme per la generazione della chiave di criptazione.

Malware initializes the math random page with the seed of the current time. Since it is using the math’s package to generate the secret key, it is not cryptographically random, and it is likely possible to write a decryptor

Il malware inizializza la pagina casuale usando l’ora attuale come seme. Visto che viene utilizzato il pacchetto math per generare la chiave segrata, questa non è criptograficamente casuale, ed potrebbe essere possibile scrivere un decrittatore

Anomali da quindi speranza a chi è stato attaccato, anche se viene pure sottolineato che le tipologie di NAS QNAP attaccati (quelli usati per file storage e backup) eseguono tipicamente software antivirus, ma che solo 2-3 di questi sono in grado di riconoscere effettivamente l’attacco.

Il consiglio per proteggersi, al momento, è questo: tenete aggiornato il firmware del vostro NAS, evitate di collegarlo direttamente ad internet e, come sempre, utilizzare password forti e non riutilizzate per altri servizi; ovviamente lo state già facendo un backup (e no, non su un NAS), vero?

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

8 risposte a “QNAP a rischio: un ransomware per Linux attacca i NAS”

  1. Avatar Viktor Kopetki
    Viktor Kopetki

    non ho capito cos’ha di specifico questo ransomware

  2. Avatar alextask
    alextask

    Cosa bisogna fare in caso di infezione? Dall’articolo si capisce che ci sono falle che permettono di intervenire, ma non ho capito se c’è un tool o altro che permetta davvero di farlo

  3. Avatar Matteo Cappadonna
    Matteo Cappadonna

    Al momento nessun tool mi sembra sia stato rilasciato. Le versioni di QTS affette sembrano essere:

    – 4.1.3
    – 4.2.6
    – QNAP TS-459 Pro II with 4.2.6 firmware
    – QNAP TS-251+ (4.3.1.0695 Build 20180830)

    Se sei stato infettato direi che l’unica è ripristinare il NAS alle impostazioni di fabbrica e, se possibile, ripristinare anche il firmware con uno fornito direttamente da QNAP, dopodichè recuperare i dati da un backup pre-infezioni. Come scrivevo nell’articolo, teoricamente è possibile decriptare i file, ma non vedo disponibile da nessuna delle due aziende tool per farlo.

    Per prevenire l’infezione, al netto del discorso password, accessibilità da internet, ed eventuale versione superiore a quelle di cui sopra, l’unica è scaricare la regola Yara fornita dalle due aziende (la trovi negli articoli linkati) e darla in pasto ad un checker per ogni file prima di caricarlo sul NAS. Puoi trovare informazioni riguardo l’installazione del checker Yara sul sito del progetto.

  4. Avatar Matteo Cappadonna
    Matteo Cappadonna

    Sicuramente il target, NAS QNAP con Linux è molto specifico, anche se effettivamente sono i più diffusi e, sicuramente, un posto in cui si tendono a mettere i file più importanti. Stando a quanto letto negli articoli di riferimento pare che sia inusuale anche l’uso del proxy Tor pubblico senza inclusione di codice relativo nel malware stesso, cosa che probabilmente rende meno identificabile il malware ma che ha anche dato la possibilità alle due aziende di ovviare al problema preallocando tutti i wallet Bitcoin

  5. Avatar Raoul Scarazzini
    Raoul Scarazzini

    positivo per il nas, meno per il congelatore…

    😀 😀 😀

  6. Avatar alextask
    alextask

    Ti ringrazio ero fuori città ed il nas risultava inaccessibile da giorni, questa news ovviamente ha alimentato il mio panico! Alla fine era solo saltata la luce (positivo per il nas, meno per il congelatore…). La mia release QTS è aggiornata, la password robusta ed usata in maniera esclusiva e starò attento ai file che maneggerò. Prevenire prevenire prevenire. Grazie mille. Edit: ho il sospetto che un attacco generalizzato ai QNAP, essendo un prodotto così di nicchia, nasconda più che altro la volontà di colpire qualcuno espressamente

  7. Avatar Viktor Kopetki
    Viktor Kopetki

    sì ma…. scarico un file tramite posta elettronica che cerca un QNAP nella mia rete e lo infetta?

  8. Avatar Matteo Cappadonna
    Matteo Cappadonna

    Da quanto si evince negli articoli il ransomware infetta direttamente i QNAP, entrandoci tramite bruteforcing, motivo per cui le due aziende consigliano in primis di non avere i QNAP attaccati direttamente ad internet e di usare password forti su di essi. Poi sappiamo che il veicolo può sempre cambiare, ma li si tratterebbe di una doppia infezione (infettare il tuo computer + infettare i QNAP), decisamente più identificabile come comportamento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *