I NAS di QNAP sono nuovamente il bersaglio di un attacco ransomware, come hanno confermato diversi utenti e i dati statistici del servizio ID Ransomware. Il malware in questione è una vecchia conoscenza, ovvero eCh0raix (o QNAPCrypt), già segnalato a maggio dallo stesso produttore taiwanese. I dispositivi di QNAP sono stati colpiti da altri due ransomware nel corso dell’anno (Qlocker e AgeLocker) che hanno sfruttato le vulnerabilità presenti nel sistema operativo QTS.
NAS QNAP: il ritorno di eCh0raix
Il bollettino di sicurezza, pubblicato da QNAP il 14 maggio, include pochi dettagli su eCh0raix, ma viene specificato che i NAS più a rischio sono quelli con password deboli e sistema operativo non aggiornato. Non è noto il vettore di attacco (alcuni utenti ammettono di aver connesso il dispositivo ad Internet senza protezioni, mentre altri parlano di una vulnerabilità nell’app Photo Station), ma il risultato finale è identico: creazione di un nuovo utente con privilegi di amministratore ed installazione del ransomware che applica la crittografia a tutti i file.
In un file di testo con estensione sbagliata (.txtt), l’autore dell’attacco indica l’indirizzo di un sito Tor, sul quale sono pubblicate le istruzioni da seguire per pagare il riscatto. La richiesta varia tra 0,024 e 0,06 Bitcoin. Se l’utente ha creato un backup dei file può semplicemente effettuare la reinizializzazione del NAS. In caso contrario ci sono due opzioni: pagare il riscatto e sperare di ricevere il “decryptor” oppure perdere tutti i dati.
QNAP suggerisce di utilizzare password più robuste per gli account amministratori, attivare la protezione degli accessi, cambiare il numero di porta (non usare 8080 o 443), aggiornare il sistema operativo QTS e tutte le app installate.