DISPOSITIVI NAS SOTTO ATTACCO: Qlocker e Agelocker

Negli ultimi mesi alcuni dispositivi NAS sono diventati il bersaglio di cyber criminali, sono state infatti segnalate attività malevole che hanno lo scopo di crittografare i dati degli utenti che li utilizzano: qualche settimana fa venivano sfruttate le vulnerabilità per diffondere il ransomware Qlocker, in questi giorni invece QNAP sta notificando agli utenti di stare in allerta perchè è in corso un attacco tramite il ransomware Agelocker.


Qlocker

Questo ransomware è comparso il 19 aprile e il suo obiettivo è quello di crittografare i dati degli utenti che utilizzano i NAS, per richiedere successivamente un riscatto in Bitcoin.

I file vengono memorizzati in archivi 7-zip (un programma open source per la creazione e gestione di file compressi) protetti da password dall’estensione .7z. L’azione di attacco è visibile perché nell’avviare il QNAP Resource Monitor apparirà l’esecuzione di una serie di processi “7z” associati a 7-zip. Per accedere a questi archivi, le vittime devono inserire una password che solo l’attaccante conosce.

Una volta che l’attacco è andato a buon fine e i file sono stati criptati, all’utente vittima compare una nota di riscatto chiamata “!!!READ_ME.txt” con una chiave client unica che serve per accedere al sito di pagamento Tor del ransomware.

Il riscatto richiesto per ottenere la password necessaria a recuperare i propri dati è di 0,01 Bitcoin, quasi 500 euro (i Bitcoin subiscono cambi quotidiani).

La vulnerabilità sfruttata dal Qlocker si pensa possa essere la CVE-2020-36195, che è stata risolta da QNAP insieme alla vulnerabilità CVE-2020-2509. Raccomandiamo quindi di procedere con l’aggiornamento di QTS, Multimedia Console e Media Streaming Add-on alle ultime versioni.


Agelocker

In seguito alla risoluzione delle vulnerabilità sfruttate da Qlocker, questi dispositivi sono stati nuovamente colpiti dal ransomware Agelocker, comparso per la prima volta a giugno 2020 e trovato sui NAS a settembre 2020.

Il nome deriva da AGE: Actually Good Encryption, è un algoritmo di cifratura che sfrutta le chiavi X25519, ChaCha20-Poly1305 e HMAC-SHA256; con chiave si indica una stringa alfanumerica che implementa l’algoritmo di codifica/decodifica dell’informazione protetta.

La cifra richiesta ad oggi non è ancora conosciuta, negli attacchi dell’anno scorso venivano richiesti 7 Bitcoin, circa 340.000 euro.

QNAP sul suo blog ha consigliato di installare le ultime versioni di QTS o QuTS Hero, di aggiornare tutte le applicazioni installate e di non connettere il NAS direttamente a Internet tramite port forwarding, DMZ o IP pubblico.

 

Cosa fare per continuare a utilizzare questi dispositivi in sicurezza?

  • Eseguire una scansione
  • Sostituire le password con altre più robuste
  • Abilitare l’autenticazione a 2 fattori per l’accesso al NAS
  • Installare le ultime versioni di Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync
  • Rimuovere gli utenti sconosciuti dal device – Controllare che sia tutto aggiornato all’ultima versione
  • Rimuovere le applicazioni sconosciute – Impostare il controllo accessi per il dispositivo (Pannello di controllo > Sicurezza > Livello Sicurezza)
  • Dove possibile, NON esporre il NAS ad internet, se proprio necessario è meglio utilizzare un servizio VPN
  • Modificare la porta di comunicazione predefinita usata per accedere all’interfaccia web del NAS


Vi ricordiamo nuovamente che è necessario mantenere aggiornato l’antivirus presente sul proprio dispositivo ed effettuare periodicamente il backup di file e risorse.

Se la vostra azienda fa ancora affidamento solamente su un backup on premise – su dispositivi locali dell’azienda stessa – vi consigliamo l’implementazione di una soluzione di backup in cloud, che vi permetterà di avere un’ulteriore copia dei vostri dati su una rete remota di risorse informatiche raggiungibile tramite una connessione ad Internet e una maggiore protezione dei dati archiviati.


Contattateci a commerciale@webeasytech.com per aumentare il livello di sicurezza dell’archiviazione dei dati della vostra azienda.


Credits: QNAP | Intraprendere azioni per proteggere il QNAP NAS