Złośliwe oprogramowanie QSnatch, które po raz pierwszy wykryto pod koniec 2019 r. zbiera żniwo. Według amerykańskiej agencji CISA oraz brytyjskiej NCSC ilość zagrożonych urządzeń od tego momentu wzrosła z 7 tysięcy botów do 62 tys. – 46% z nich wykryto w Europie Wschodniej, a 8% Europie Zachodniej.
To wyrafinowane złośliwe oprogramowanie atakuje QTS, system operacyjny oparty na systemie Linux, na którym działają urządzenia tajwańskiego producenta. Jest w stanie rejestrować hasła i dane uwierzytelniające, konfigurować backdoor SSH i webshell czy eksfiltrować pliki. Co istotne, QSnatch zapewnia sobie trwałość uniemożliwiając użytkownikom instalację aktualizacji, które mogą go usunąć lub oraz zapobiegając działaniu aplikacji QNAP Malware Remover.
QSnatch nie jest nowym odkryciem – jego początki sięgają 2014 roku. Ostatni raz QNAP zaalarmował swoich użytkowników o kolejnej kampanii w listopadzie 2019 r. Co ciekawe, wciąż pozostaje tajemnicą, w jaki sposób złośliwe oprogramowanie jest dystrybuowane.
Co zrobić, jeśli QNAP został zainfekowany? Agencje twierdzą, że infrastruktura używana przez cyberprzestępców w obu kampaniach nie jest obecnie aktywna, ale niezałatane urządzenia mogą zostać naruszone.
Nie zostało potwierdzone, że aktualizacja wystarczy do usunięcia złośliwego oprogramowania. Zalecane jest przeprowadzenie pełnego przywrócenia ustawień fabrycznych na urządzeniu, a następnie sprawdzenie czy aktualizacje zostały zastosowane. Spowoduje to “zniszczenie” złośliwego oprogramowania, ale jednocześnie pociągnie za sobą usunięcie wszystkich danych przechowywanych na urządzeniu.
Agencje dodatkowo zalecają organizacjom blokowanie połączeń zewnętrznych, gdy urządzenie jest przeznaczone wyłącznie do użytku wewnętrznego.
Tutaj można znaleźć pełne porady firmy QNAP dotyczące zapobiegania infekcjom QSnatch.