Campagna malware

I ransomware ech0raix e DeadBolt colpiscono i NAS di QNAP: ecco come proteggersi

I dispositivi NAS prodotti da QNAP e da altre aziende tra cui anche Synology sono nel mirino dei ransomware ech0raix e DeadBolt. Ecco i dettagli della campagna malevola e i consigli per proteggersi

3 giorni fa
C
Mirella Castigli

Giornalista

È in corso una campagna malevola che sfrutta i ransomware ech0raix e DeadBolt per colpire i dispositivi NAS di QNAP e di altri noti marchi.

In particolare, QNAP sta avvisando consumatori e organizzazioni di fascia Enterprise del rischio di usare gli applicativi di Network-Attached Storage (NAS) in quanto alla mercé di una campagna ransomware di DeadBolt. Ma ne esiste anche una ech0raix/QNAPCrypt, secondo varie fonti.

Infatti, “entrambi i ransomware ech0raix e DeadBolt”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “nascono come minacce specifiche per dispositivi NAS prodotti proprio da aziende come QNAP e Synology”.

Dispositivi NAS nel mirino di ransomware ech0raix e DeadBolt

I dispositivi NAS sono molto comuni fra utenti consumer e PMI. Li usano per archiviare, gestire e condividere file e backup. Questo li rende obiettivi appetibili per i cyber crimininali che sfruttano i ransomware e l’engagement in uno scherma di estorsione duplice.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

Inoltre, da quando i dispositivi NAS sono spesso accessibili da remoto via internet, i cyber criminali hanno iniziato a sfruttare anche vulnerabilità presenti nei software o nel firmware oppure utilizzano attacchi di forza bruta contro le password degli account di amministratori.

“È dal 2019”, continua Pierluigi Paganini, “che osserviamo diverse ondate di attacchi che di volta in volta sfruttano vulnerabilità differenti nel firmware e nelle applicazioni che girano su questi dispositivi”.

“Per un attaccante è estremamente semplice trovare online questi dispositivi e colpire quelli tra loro non adeguatamente protetti o non aggiornati all’ultima versione firmware”, mette dunque in guardia l’esperto di cyber security.

L’obiettivo è guadagnare l’accesso, crittografare i file, quindi, chiedere un riscatto per ripristinarli. Talvolta li compromettono e li equipaggiano con cryptominer usati per generare criptovalute sfruttando le potenze di calcolo dei sistemi target degli attacchi.

“Talvolta questi dispositivi contengono informazioni sensibili che possono essere utilizzati per successivi attacchi o essere rivenduti al Dark Web. I potenziali danni” sono, dunque, “ingenti sui proprietari dei dispositivi compromessi”, sottolinea Paganini.

Come proteggersi

“È essenziale configurare correttamente questi device seguendo le best practice raccomandate dal vendor e mantenere aggiornati il firmware e le applicazioni”, conclude Paganini.

In quest’ultimo caso, infatti, il software o firmware malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione, come invece avviene nei ransomware presi via phishing oppure mediante la navigazione su siti compromessi (il cosiddetto “drive-by download”) o via baiting (attraverso un supporto rimovibile USB) eccetera.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5