Los dispositivos QNAP sin parchear son pirateados para minar criptomonedas

Los dispositivos de almacenamiento adjunto a la red (NAS) sin parches son el objetivo de ataques continuos en los que los atacantes intentan tomar el control e instalar el malware cryptominer para extraer criptomonedas.

Los autores de amenazas aprovechan dos vulnerabilidades de ejecución de comandos remotos (RCE) de preautorización en la aplicación Helpdesk parcheada por QNAP en octubre de 2020.

El malware de cifrado descubierto en dispositivos NAS comprometidos durante esta campaña fue llamado UnityMiner por investigadores del Qihoo 360 Network Security Research Lab (360 Netlab).

"Notamos que el atacante personalizó el programa ocultando el proceso de minería y la información sobre el uso real de la memoria de la CPU, por lo que cuando los usuarios de QNAP controlan el uso del sistema a través de la interfaz de administración WEB, no pueden ver el comportamiento anormal del sistema. ", dice el informe.

360 Netlab informó a QNAP de la campaña de criptominería en curso el 3 de marzo, un día después de darse cuenta de los ataques.

Todos los dispositivos NAS con firmware de QNAP lanzados antes de agosto de 2020 son actualmente vulnerables a estos ataques.

Los investigadores descubrieron 4.297.426 dispositivos NAS de QNAP potencialmente vulnerables en línea utilizando el sistema de mapeo del ciberespacio 360 Quake de la compañía.

Si bien QNAP no ha publicado un aviso para alertar a los clientes sobre ataques activos, la compañía solicitó clientes el mes pasado. para actualizar las aplicaciones Surveillance Station y Helpdesk para corregir vulnerabilidades de seguridad descubiertas recientemente.

"Para garantizar la seguridad de su NAS de QNAP, se anima a los usuarios a instalar las actualizaciones correspondientes lo antes posible", dijo QNAP.

"Además de estas actualizaciones de software y alertas de seguridad publicadas, QNAP también ha enviado correos electrónicos de notificación individuales a usuarios conocidos de Surveillance Station para minimizar el impacto causado por el problema".

En enero, QNAP advirtió a los clientes sobre otra serie de ataques que infectan y explotan los dispositivos NAS de QNAP para extraer bitcoins sin su conocimiento.

Esa advertencia se produjo después de QNAP en noviembre. artículo de la base de conocimientos explicando que los dispositivos NAS que ejecutan procesos dovecat y dedpma están comprometidos y ejecutan un minero de malware Bitcoin.

Dispositivos NAS bajo asedio

Los dispositivos NAS de QNAP han estado bajo ataque desde hace algún tiempo, y se advirtió a los clientes sobre el malware QSnatch y las infecciones de Muhstik Ransomware en septiembre y octubre de 2019.

Una campaña de eCh0raix Ransomware (también conocida como QNAPCrypt) también se enfocó en dispositivos NAS de QNAP con firmware QTS desactualizado y contraseñas débiles en agosto de 2019.

Más recientemente, en septiembre de 2020, QNAP notificó a los clientes sobre una ola de ataques AgeLocker Ransomware en dispositivos NAS expuestos públicamente.

Todos los propietarios de NAS de QNAP deben seguir la siguiente lista de verificación para proteger su NAS y verificar si hay malware:

• Cambiar todas las contraseñas de todas las cuentas del dispositivo
• Eliminar cuentas de usuarios desconocidos del dispositivo
• Asegúrese de que el firmware del dispositivo esté actualizado y que todas las aplicaciones también estén actualizadas
• Elimina aplicaciones desconocidas o no utilizadas de tu dispositivo
• Instale la aplicación QNAP MalwareRemover a través de la función App Center
• Configure una lista de control de acceso para el dispositivo (Panel de control -> Seguridad -> Nivel de seguridad)

Puede encontrar más detalles técnicos sobre el malware de cifrado UnityMiner y una lista de todas las versiones de firmware que se sabe que son vulnerables en Informe de 360 ​​Netlab.