Tchajwanská společnost QNAP, která se (mimo jiné) specializuje na výrobu síťových úložišť, vyzývá zákazníky, aby zabezpečili svá zařízení NAS a bránili se tak útokům ransomwaru AgeLocker. V publikovaném upozornění uvádí, že bezpečnostní tým objevil vzorky ransomwaru, který může ovlivnit NASy tohoto výrobce.
„Pro zabezpečení vašeho zařízení důrazně doporučujeme pravidelně aktualizovat QTS nebo QuTS hero a všechny nainstalované aplikace na nejnovější verze, abyste mohli využít oprav zranitelností,“ uvedla firma. Zákazníci by v administraci měli zkontrolovat stav podpory produktu a dostupné aktualizace.
Data v ohrožení
Zákazníci jsou také varováni, aby svá disková pole nevystavovali do internetu, protože by je tak mohli najít potenciální útočníci a následně získat přístup k uloženým datům. Firma v nedávné minulosti již čelila napadení některých NASů ransomwarem AgeLocker, nicméně dle jejího vyjádření se jednalo o zařízení se zastaralým firmwarem.
Poprvé byl malware AgeLocker zaznamenán v červenci 2020. V rámci kampaně, probíhající v loňském září, se zaměřil na zařízení QNAP po celém světě. Tento kmen ransomwaru používá šifrovací algoritmus Age (zkratka pro Actually Good Encryption), který byl navržen jako náhrada za GPG pro šifrování souborů, záloh a streamů.
Podle odborníka na dešifrování Michaela Gillespieho používá Age algoritmy X25519, ChaChar20-Poly1305 a HMAC-SHA256, což mu poskytuje bezpečnou metodu šifrování souborů obětí. Od prvních oběti útočníci požadovali výkupné ve výši 7 bitcoinů (tedy zhruba 8 milionů korun), částku požadovanou za dešifrování souborů při útocích v září 2020 zatím neznáme.
Braňte NAS před ransomwarem
Nejedná se o první a ani ojedinělý ransomware, útočící na síťová úložiště tohoto výrobce. V červnu 2019 a 2020 se ocitla na mušce ransomwaru eCh0raix (známým také jako QNAPCrypt). Tento malware šifroval všechna data a v každé složce vytvářel textový soubor README_FOR_DECRYPT.txt s odkazem na web na dark netu, kde byly uživateli prezentovány požadavky na výkupné.
Od minulého víkendu uživatelé čelí ransomwarovým útokům v rámci masivní a stále probíhající kampaně malwaru Qlocker. Výrobce původně informoval, že tento ransomware využívá k šifrování neaktualizovaných zařízení zranitelnost SQL Injection (CVE-2020-36195), později se však ukázalo, že také zneužívá přihlašovací údaje v aplikaci HBS 3 Hybrid Backup Sync.
QNAP již v minulosti svým klientům doporučil, aby změnili výchozí síťový port pro přístup, používali silná hesla k účtům a aktivovali zásady hesel pro další zabezpečení svých zařízení. Majitelé NASů tohoto výrobce by měli splnit následující seznam úkolů, jehož cílem je zmírnit případné útoky:
- Změňte všechna hesla pro všechny účty v zařízení.
- Odstraňte ze zařízení neznámé uživatelské účty.
- Ujistěte se, že firmware zařízení je aktuální a všechny aplikace jsou aktualizovány.
- Odstraňte ze zařízení neznámé nebo nepoužívané aplikace.
- Nainstalujte aplikaci QNAP MalwareRemover prostřednictvím funkce App Center.
- Nastavte řízení přístupu pro zařízení (Control panel-Security-Security level).