Модульный зловред QSnatch атакует сетевые хранилища QNap и крадет учетные данные пользовательских аккаунтов. Об этом сообщили специалисты Центра национальной компьютерной безопасности Финляндии (NCSC-FI). Удалить вредоносную программу можно при помощи специальной утилиты, выпущенной производителем, или сбросив настройки устройства до заводских.

ИБ-специалистам не известно, как QSnatch попадает в уязвимую систему. Скрипт внедряется в прошивку NAS-устройства и получает полезную нагрузку с командного сервера, используя алгоритм генерации адреса. Далее зловред блокирует работу встроенного антивируса, отключает механизм обновления системного ПО и вносит изменения в некоторые легитимные процессы.

Как удалить QSnatch из зараженного хранилища

Зловред открывает канал связи с командным сервером и передает на него все логины и пароли, связанные с инфицированным устройством. По словам ИБ-специалистов, QSnatch способен загружать из центра управления новые модули, расширяющие его функции. Для исправления ошибки и удаления зловреда из зараженных хранилищ QNap выпустила обновление программы Malware Remover и нескольких версий ОС QTS.

Безопасными считаются прошивки:

  • 4.3.6 build 20190328;
  • 4.3.4 build 20190322;
  • 4.3.3 build 20190322;
  • 4.2.6 build 20190322.

Пользователям NAS-устройств QNap рекомендуют срочно установить необходимые обновления или сбросить настройки ОС до заводских. При этом второй вариант приводит к уничтожению всей информации в хранилище.

Количество устройств, пострадавших от атаки, неизвестно, но, по мнению экспертов немецкого CERT, QSnatch заразил не менее 7000 хостов.

Сетевые хранилища QNap не в первый раз становятся целью киберпреступников. В сентябре прошлого года устройства атаковал bash-скрипт, похищавший администраторские пароли. Помимо этого, зловред создавал на диске скрытые папки и размещал в них вредоносное содержимое.

В июле 2019-го стало известно о кампании вымогателя eCh0raix, который шифровал пользовательскую информацию на устройствах QNap и требовал 0,05–0,06 BTC за ее восстановление.

Категории: Вредоносные программы, Главное