Zhakowane urządzenia QNAP wydobywają kryptowaluty

Naukowcy z 360Netlab ostrzegają przed falą ataków złośliwego oprogramowania cryptominer skierowanego przeciwko użytkownikom urządzeń pamięci masowej NAS firmy QNAP. Napastnicy wykorzystują luki umożliwiające nieautoryzowane zdalne wykonywanie poleceń (CVE-2020-2506 i CVE-2020-2507). 360Netlab Threat Detection System zaczął zgłaszać pierwsze incydenty na początku marca bieżącego roku.

Hakerzy po udanym ataku uzyskują uprawnienia roota na urządzeniu i mogą rozpocząć wydobywanie kryptowalut bez wiedzy użytkownika systemu NAS. Co istotne, cyberprzestępcy potrafią ukryć rzeczywiste informacje o wykorzystaniu zasobów pamięci procesora. W rezultacie właściciel serwera QNAP traci możliwość rzetelnej kontroli wykorzystania systemu.

360 Netlab udostępnił swoje ustalenia producentowi 3 marca, aczkolwiek badacze ze względu na szeroki zasięg kampanii cyberprzestępczej upublicznili informację. Na ataki narażone są wszystkie urządzenia NAS z oprogramowaniem firmowym QNAP wydanym przed sierpniem 2020 roku. Eksperci zgłosili 4 297 426 tego typu systemów, większość z nich znajduje się w Stanach Zjednoczonych, Chinach oraz we Włoszech.

Popularność QNAP

W pewnym stopniu QNAP pada ofiarą swojej popularności. Hakerzy chętnie biorą na cel urządzenia bądź programy cieszące się dużym popytem. Bitdefender już od dłuższego czasu zwraca uwagę na poważny problem jakim są ataki na urządzenia sieciowe, a zwłaszcza sprzęt domowy. Nie jest tajemnicą, iż część NAS-ów QNAP jest używanych w gospodarstwach domowych. Malware typu cryptominer nie zagraża danym, ale może uszczuplić domowy budżet, generując wysokie koszty zużycia energii – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Urządzenia NAS firmy QNAP już od pewnego czasu znajdują się na celowniku hakerów. Jesienią 2019 roku klienci byli ostrzegani przed złośliwym oprogramowaniem QSnatch i Muhstik. Natomiast we wrześniu ubiegłego roku QNAP poinformował klientów o fali ataków AgeLocker ransomware.

Co zrobić, aby uniknąć infekcji oprogramowaniem cryptominer?

• zmienić wszystkie hasła do kont na urządzeniu
• usunąć nieznane konta użytkowników z urządzenia
• upewnić się, że oprogramowanie sprzętowe urządzenia jest aktualne, podobnie jak obsługiwane przez NAS aplikacje
• usunąć nieznane lub nieużywane aplikacje z urządzenia
• zainstalować aplikację QNAP MalwareRemover za pośrednictwem funkcji App Center
• ustawić listę kontroli dostępu do urządzenia (Panel sterowania -> Bezpieczeństwo -> Poziom bezpieczeństwa)