Preko 7000 infekcija prijavljeno je samo u Njemačkoj. Zlonamjerni softver se i dalje širi.

 

Hakeri su zarazili hiljade uređaja vezanih za skladištenje podataka (NAS) od tajvanskog dobavljača QNAP novom vrstom malware-a pod imenom QSnatch.

Samo u Njemačkoj prijavljeno je preko 7000 infekcija, saopštila je njemačka Timovna služba za hitne slučajeve (CERT-Bund). Vjeruje se da je hiljade njih zaraženo širom svijeta u čemu se čini da je to trajna epidemija.

Informacije o tome kako funkcioniše QSnatch još uvijek su oskudne u vrijeme pisanja. Jedini izvještaj stiže iz Nacionalnog centra za cyber-sigurnost Finske (NCSC-FI), prve organizacije za sajber-sigurnost koja je uočila malware prošle sedmice.

Progledajte još: Pronađen skriveni backdoor za MSSQL servere koje su razvili kineski hakeri

Članovi NCSC-FI još uvijek nisu otkrili kako se ova nova prijetnja širi i zaražava QNAP NAS sissteme. Međutim, jednom kada dobije pristup uređaju, QSnatch upada u firmver kako bi stekao upornost pri ponovnom pokretanju.

Analiza koda zlonamjernog softvera otkrila je sljedeće mogućnosti:

  • Izmjena zadataka i skripti temeljenih na OS-u (cronjob, init skripte)
  • Sprečava buduće ažuriranje firmware-a prepisivanjem URL-ova izvora ažuriranja
  • Sprečava pokretanje izvorne QNAP MalwareRemover aplikacije
  • Izdvaja i krade korisnička imena i lozinke za sve NAS korisnike

Ove karakteristike opisuju mogućnosti zlonamjernog softvera, ali ne otkrivaju njegov krajnji cilj. Nejasno je je li QSnatch razvijen za izvođenje DDoS napada, izvođenje skrivenog rudarstva kriptovaluta ili samo kao način zakloniti QNAP uređaje za osjetljive krađe datoteka ili host malware-a za buduće operacije.

Jedna teorija je da su QSnatch operatori trenutno u fazi u kojoj grade svoj botnet i ubuduće će implementirati druge module. Analitičari NCSC-FI potvrdili su da QSnatch ima mogućnost povezivanja s udaljenom naredbom i kontrolom, preuzimanjem i pokretanjem drugih modula.

 

Kako ukloniti QSnatch malware sa QNAP NAS uređaja

 

Za sada je jedina potvrđena metoda uklanjanja QSnatch-a da se izvede potpuno fabrički reset NAS uređaja.

Neki su korisnici objavili da instaliranje ažuriranja firmware-a QNAP NAS u februaru 2019. godine također rješava problem; međutim, ni NCSC-FI, ni prodavač, nisu potvrdili da ovo uklanja QSnatch ili sprečava buduće ponovne infekcije.

Zasad se vlasnicima QNAP NAS-a savjetuje da isključe svoje uređaje s interneta.

Ostali savjeti koje analitičari NCSC-FI dijele o rješavanju posljedica QSnatch infekcije uključuju:

  • Promijenite sve lozinke za sve račune na uređaju
  • Uklonite nepoznate korisničke račune s uređaja
  • Provjerite je li ažuriran firmver uređaja i jesu li ažurirane i sve aplikacije
  • Uklonite nepoznate ili neiskorišćene aplikacije s uređaja
  • Instalirajte QNAP MalwareRemover aplikaciju putem funkcije App Center
  • Postavite listu kontrole pristupa uređaju (Control panel -> Security -> Security level)

QSnatch je četvrta vrsta zlonamjernog softvera primijećena ove godine koji je ciljao NAS uređaje, prateći korake ransomware-a koji je uticao na Synology uređaje i eCh0raix i Muhstik ransomware koji su uticali na QNAP uređaje.

(ZDnet)

Dopadaju vam se tekstovi na IT-mixer.com? Podržite nas putem društvenih mreža na linkovima ispod. Lajkujte našu stranicu na Facebooku, budite informisani u svakom momentu.