Advertencia: malware QSnatch lleva más de 62.000 dispositivos QNAP NAS infectados

QNAP es una corporación Taiwanesa especializada en el desarrollo y distribución de dispositivos de almacenamiento conectados a una red (NAS - Network Attached Storage), los cuales suelen ser utilizados para administrar el almacenamiento de datos que son guardados y compartidos por la red a la que son instalados, como asignar privilegios por usuario para leer, escribir, editar y eliminar dichos datos, entre otros servicios.

El día de ayer 27 de Julio, las dos agencias encargadas de la ciberseguridad de Estados Unidos (US) CISA (Cybersecurity and Infrastructure Security Agency) y del Reino Unido (UK) NCSC (National Cyber Security Centre), publicaron una alerta de seguridad que involucra al malware QSnatch, un malware que ha tenido varias versiones a través de los años y afecta a los dispositivos marca QNAP de tipo NAS. 

El malware empezó a ser seguido por ambas agencias desde el año 2014, logrando identificar dos campañas de propagación, la primera inició a principio del año 2014 hasta mediados del 2017, la segunda y última registrada, inició a finales del año 2018 hasta finales del 2019. En las alertas se destaca que los ataques incrementaron en gran medida en esta última campaña registrada, donde solo durante el mes de Octubre del 2019 se reportó un crecimiento de dispositivos infectados de 7.000 a más de 62.000 a mediados de Junio del presente año. Según su reporte, el número aproximado de ese total, 7.600 corresponden a US (15%) y 3.900 a UK.

Porcentaje de dispositivos infectados por Geolocalización


Según el análisis de los expertos de ambas agencias, el malware QSnatch tiene varias capacidades y caracteristicas, donde se enfocaron en este reporte en la última versión usada en la campaña de propagación. Según la alerta conjunta, esta nueva versión del malware vino con un conjunto amplio y mejorado de características que incluye funcionalidades en los siguientes módulos:

  1. CGI password logger: Se encarga de instalar una versión falsa de la página de inicio de sesión para la administración del dispositivo y pasar la autenticación a la página legítima de inicio de sesión.
  2. Raspador de credenciales.
  3. Puerta trasera SSH: Permite al ciber atacante ejecutar código arbitrario en el dispositivo afectado de forma remota.
  4. Exfiltración: Cuando QSnatch es ejecutado, inicia robando unos archivos establecidos en un lista predeterminada, la cual incluye la configuración del sistema y los archivos de registros (logs). Estos son cifrados con la llave pública del actor malicioso y le son enviadas a bajo una infraestructura HTTPS.
  5. Funcionalidad Webshell para acceso remoto.

Algo importante a destacar es que los expertos de ambas agencias, han analizado las versiones del malware QSnatch y no han logrado determinar como es el proceso de infección inicial de los dispositivos. Aunque, se sospecha que los atacantes pueden estar explotando vulnerabilidades en el firmware de los NAS de QNAP, así como también pueden estar usando credenciales predeterminadas.

En el reporte, los expertos también comentan que no es posible eliminar el malware con actualizaciones, debido a que el malware de forma persistente previene la instalación de actualizaciones. Por motivo a que modifica los archivos del host del sistema, redirigiendo los nombres de dominios principales usados en el NAS a versiones desactualizadas locales.  

Ambas agencias, recomiendan con urgencia a los usuarios de dispositivos QNAP seguir las indicaciones de remediación y mitigación ofrecidas por la marca Taiwanesa.




Fuente:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,AD,1,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chile,1,Chips,1,Chrome,3,Ciberataque,5,Cibercrimen,139,Cibercriminales,1,Ciberdelincuencia,13,ciberseguridad,151,Cisco,4,Citrix,6,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,5,Debate,1,Deep Web,5,dlink,1,DNS,2,Domains,1,DoS,2,Ecommerce,3,elasticsearch,1,Email,3,Emotet,2,Empresas,114,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,4,exploit,8,Exploits,12,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,2,Fileless,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,2,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,9,LoLbins,1,LSASS,1,Macromedia,1,Malware,46,Malwares,32,Maze,2,MDM,1,Messenger,1,MFA,1,Microsoft,38,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,17,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,20,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,17,Redes,30,redes sociales,12,Redhat,1,Remoto,1,REvil,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Ryuk,1,Salt,1,Salud,2,SeguridadTI,3,Servicios,7,Smartphones,29,SMB,5,Sodinokibi,1,Software,23,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,6,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,5,Vulnerabilidad,37,Vulnerabilidades,77,Web,8,WER,1,WhatsApp,5,wifi,5,Windows,22,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Advertencia: malware QSnatch lleva más de 62.000 dispositivos QNAP NAS infectados
Advertencia: malware QSnatch lleva más de 62.000 dispositivos QNAP NAS infectados
https://1.bp.blogspot.com/-MPpHxoaU6o0/XyCxAinfsnI/AAAAAAAACN0/QpGBnoqUiec_v0emKy7TIUCSKCwzs2PgwCLcBGAsYHQ/w640-h320/Qnap%2BNAS%2Bmalware%2BQSnatch.jpg
https://1.bp.blogspot.com/-MPpHxoaU6o0/XyCxAinfsnI/AAAAAAAACN0/QpGBnoqUiec_v0emKy7TIUCSKCwzs2PgwCLcBGAsYHQ/s72-w640-c-h320/Qnap%2BNAS%2Bmalware%2BQSnatch.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/07/advertencia-malware-qsnatch-lleva-mas.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/07/advertencia-malware-qsnatch-lleva-mas.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy