QNAP avverte: il ransomware Checkmate prende di mira i NAS. Come ridurre i rischi

QNAP avverte: il ransomware Checkmate prende di mira i NAS. Come ridurre i rischi

QNAP ha avvisato i propri clienti di proteggere i NAS da possibili attacchi basati sul ransomware Checkmate. Nel bollettino di sicurezza l'azienda, che sta ancora verificando la portata del problema, illustra alcune contromisure.

di pubblicata il , alle 09:11 nel canale Sicurezza
QnapNAS Aziendali
 

QNAP ha diramato un bollettino di sicurezza in cui avverte i possessori dei propri NAS dell'esistenza di una nuova minaccia, il ransomware Checkmate, capace di cifrare i dati sul dispositivo se non si presta attenzione o non si prendono le contromisure adeguate.

Secondo l'azienda taiwanese, gli attacchi colpiscono i NAS connessi al web, con servizio SMB (Server Message Block) abilitato e account con password deboli che possono essere facilmente indovinate tramite attacchi brute force. "Un nuovo ransomware chiamato Checkmate è stato recentemente portato alla nostra attenzione", si legge in un comunicato dell'azienda.

"Le indagini preliminari indicano che Checkmate attacca tramite servizi SMB esposti a Internet, e sfrutta attacchi a dizionario per superare gli account con password deboli. Una volta che il malintenzionato entra in un dispositivo, cifra i dati nelle cartelle condivise e lascia una nota con nome file '!CHECKMATE_DECRYPTION_README' in ogni cartella". In base a quanto rilevato dagli esperti di sicurezza finora, i creatori di Checkmate chiedono alle vittime di pagare 15.000 dollari in Bitcoin per ottenere un tool di decrittazione e l'apposita chiave.

Mentre per il momento non sembrano esserci possessori di NAS QNAP vittime di Checkmate e l'azienda sta approfondendo la minaccia, il consiglio è quello di non esporre il servizio SMB a Internet o di limitare l'esposizione del NAS mediante l'uso di una VPN. Inoltre, QNAP suggerisce di disabilitare SMB 1 (nel bollettino viene spiegato come fare).

Al tempo stesso, l'azienda consiglia di mantenere il sistema operativo del NAS aggiornato, rivedere le password per renderle più forti e fare regolari backup dei dati contenuti.

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Saturn08 Luglio 2022, 09:54 #1
Io ancora non mi capacito di come si possa lasciare un nas raggiungibile da chiunque su un ip pubblico, senza alcun tipo di protezione. Neanche uno straccio di vpn sgangherata per collegarsi, niente.

Magari poi con le credenziali "di fabbrica". admin/admin o admin/password per andare sul sicuro !

Chiariamoci, come sempre auguro di cuore il peggior destino possibile, ad esempio vent'anni di pena da scontare in miniera a spezzarsi la schiena, ai delinquenti criminali come questi che si arricchiscono ricattando il prossimo.

Sono pure raggiungibili tramite telegram per le trattive per il decriptaggio dei files, questi ignobili suini. Nel link c'è anche il tool per il ripristino dei files compromessi.
Lain8408 Luglio 2022, 10:10 #2
Originariamente inviato da: Saturn
Io ancora non mi capacito di come si possa lasciare un nas raggiungibile da chiunque su un ip pubblico, senza alcun tipo di protezione. Neanche uno straccio di vpn sgangherata per collegarsi, niente.

Magari poi con le credenziali "di fabbrica". admin/admin o admin/password per andare sul sicuro !

Chiariamoci, come sempre auguro di cuore il peggior destino possibile, ad esempio vent'anni di pena da scontare in miniera a spezzarsi la schiena, ai delinquenti criminali come questi che si arricchiscono ricattando il prossimo.

Sono pure raggiungibili tramite telegram per le trattive per il decriptaggio dei files, questi ignobili suini. Nel link c'è anche il tool per il ripristino dei files compromessi.


Sò personalmente di persone che lavorano nel campo IT che lasciano storage aziendali esposti sulla intranet (senza separarli da vLAN, rete differente, etc) e su internet con le password/porte di default
Saturn08 Luglio 2022, 10:16 #3
Originariamente inviato da: Lain84
Sò personalmente di persone che lavorano nel campo IT che lasciano storage aziendali esposti sulla intranet (senza separarli da vLAN, rete differente, etc) e su internet con le password/porte di default


E magari accessibili dalla rete wifi guest. Questa è gente che o è completamente incompetente o completamente svogliata. In entrambi i casi da licenziare e mandare a casa. Subito.

Altro che campo IT, questi farebbero danni anche a raccogliere frutta nei CAMPI.
baruk08 Luglio 2022, 10:47 #4
Originariamente inviato da: Saturn
Io ancora non mi capacito di come si possa lasciare un nas raggiungibile da chiunque su un ip pubblico, senza alcun tipo di protezione. Neanche uno straccio di vpn sgangherata per collegarsi, niente.

Magari poi con le credenziali "di fabbrica". admin/admin o admin/password per andare sul sicuro !

Chiariamoci, come sempre auguro di cuore il peggior destino possibile, ad esempio vent'anni di pena da scontare in miniera a spezzarsi la schiena, ai delinquenti criminali come questi che si arricchiscono ricattando il prossimo.

Sono pure raggiungibili tramite telegram per le trattive per il decriptaggio dei files, questi ignobili suini. Nel link c'è anche il tool per il ripristino dei files compromessi.


Se ti dicessi che in diverse strutture CNR non è automatica la concessione di una VPN?
Saturn08 Luglio 2022, 10:53 #5
Originariamente inviato da: baruk
Se ti dicessi che in diverse strutture CNR non è automatica la concessione di una VPN?


Prendo atto !
William Somerset08 Luglio 2022, 18:55 #6
Garantire la sicurezza ad un servizio/dispositivo esposto in internet, oggigiorno è diventato un lavoro a tempo pieno.
Aggiornamenti, patch, analisi dei log, firewall, ids, edr...
Noi in azienda abbiamo beccato un ransomware e siamo stati chiusi una settimana, nonostante avessimo tutto a puntino e tutti i sistemi Enterprise (switch HP supportati, firewall Sophos, Darktrace, Office 365 Premium, etc...).
Figuriamoci come si possa solo pensare di avere un minimo di sicurezza a casa con un dispositivo esposto ad internet dove davanti c'è solamente un router home che magari non riceve neppure più aggiornamenti firmware da una vita...
A mio modesto avviso a casa o NAS rigorosamente non esposti, neanche tramite VPN, oppure servizi Cloud.
Saturn08 Luglio 2022, 19:14 #7
Originariamente inviato da: William Somerset
Garantire la sicurezza ad un servizio/dispositivo esposto in internet, oggigiorno è diventato un lavoro a tempo pieno.
Aggiornamenti, patch, analisi dei log, firewall, ids, edr...
Noi in azienda abbiamo beccato un ransomware e siamo stati chiusi una settimana, nonostante avessimo tutto a puntino e tutti i sistemi Enterprise (switch HP supportati, firewall Sophos, Darktrace, Office 365 Premium, etc...).
Figuriamoci come si possa solo pensare di avere un minimo di sicurezza a casa con un dispositivo esposto ad internet dove davanti c'è solamente un router home che magari non riceve neppure più aggiornamenti firmware da una vita...
A mio modesto avviso a casa o NAS rigorosamente non esposti, neanche tramite VPN, oppure servizi Cloud.


Posso chiederti come è riuscito a compromettervi ? Solito allegato e-mail aperto da utente non troppo skillato oppure qualcosa di più sofisticato ?
William Somerset08 Luglio 2022, 19:30 #8
Originariamente inviato da: Saturn
Posso chiederti come è riuscito a compromettervi ? Solito allegato e-mail aperto da utente non troppo skillato oppure qualcosa di più sofisticato ?


Allegato aperto dalla casella personale dell'utente.

Degli umani ci hanno criptato tutto, compresi i vmdk di VMware e i backup online (3 copie su 3 supporti diversi). Abbiamo dovuto restorare tutto (27TB di dati) dal backup offline si tape.
Saturn08 Luglio 2022, 19:38 #9
Originariamente inviato da: William Somerset
Allegato aperto dalla casella personale dell'utente.

Degli umani ci hanno criptato tutto, compresi i vmdk di VMware e i backup online (3 copie su 3 supporti diversi). Abbiamo dovuto restorare tutto (27TB di dati) dal backup offline si tape.


Mi dispiace molto. Chiamare umani questi delinquenti che mettono in giro queste porcherie è un complimento però credimi. Fortuna il backup off-line, su questo siete stati previdenti. Sicuramente l'avrete già fatta la denuncia alle forze dell'ordine, servirà a poco, ma sempre meglio farla.

Solo un ultimo dubbio, se vuoi, ma come sono arrivati a criptare i backup ? Sono su percorsi/classi di rete raggiungibili nella lan da chiunque o sono andati a caccia. Domando per confrontarmi, perchè prima o poi capiterà anche a me di dovermi confrontare con questa feccia.
William Somerset08 Luglio 2022, 19:43 #10
Originariamente inviato da: Saturn
Mi dispiace molto. Chiamare umani questi delinquenti che mettono in giro queste porcherie è un complimento però credimi. Fortuna il backup off-line, su questo siete stati previdenti. Sicuramente l'avrete già fatta la denuncia alle forze dell'ordine, servirà a poco, ma sempre meglio farla.

Solo un ultimo dubbio, se vuoi, ma come sono arrivati a criptare i backup ? Sono su percorsi/classi di rete raggiungibili nella lan da chiunque o sono andati a caccia. Domando per confrontarmi, perchè prima o poi capiterà anche a me di dovermi confrontare con questa feccia.


La denuncia l'abbiamo fatta ma ovviamente non porterà a nulla, hanno sempre agito dietro vpn...

Sono andato a caccia, ricostruendo tutto, noi IT più una società di sicurezza esterna, è emerso che sono rimasti mesi silenti all'interno della nostra rete,"studiandoci".

I backup sono su VLAN diverse gestite dal firewall, e raggiungibili solo dalla VLAN dei server...

Sono stati molto molto bravi...

Per fortuna la proprietà ha capito, oggi o crei un reparto interno di cyber security che passa tutto il giorno ad annalizzare log, traffico, comportamenti etc... oppure bisogna mettere in preventivo che prima o poi capiterà, non ci sono santi che tengano.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^