NAS-servers van QNAP doelwit van grote malwarecampagne

De cyberbeveiligingsinstanties van de VS en het VK waarschuwen samen voor een grote malwarecampagne die het gemunt heeft op QNAP-toestellen. Al meer dan 62.000 servers zijn geïnfecteerd.

QNAP-servers zijn het slachtoffer van een nieuwe golf van gerichte malware-infecties. Daarvoor waarschuwen de cyberbeveiligingsdiensten van de VS en het VK. Midden vorige maande waren er al meer dan 62.000 servers besmet, waarvan bijna de helft in West Europa staat. Hoe de malware toestellen precies infecteert, is nog steeds niet duidelijk. Wel staat vast dat de impact groot is zodra het virus voet aan wal heeft.

QSnatch

Het gaat concreet om een variant van de QSnatch-malware. Die bestaat al sinds 2014 maar berokkende nooit grote schade. De laatste maanden boeken hackers meer succes met een nieuwe versie van QSnatch, die niet enkel doeltreffender lijkt maar ook extra capaciteiten aan boord heeft. De versie stak in 2019 de kop op, maar lijkt nu helemaal op kruissnelheid.

Op geïnfecteerde servers schakelt QSnatch updates uit, zodat het er veilig kan blijven wonen. Vervolgens schotelt de malware je een valse loginpagina voor van waaruit inloggegevens worden gestolen. QSnatch installeert verder een SSH-achterpoortje en is in staat data te stelen te verzenden naar de aanvaller. Webshell-functionaliteit laat dan weer eenvoudige toegang op afstand toe. Het komt erop neer dat een hacker de totale controle heeft over een QNAP-server geïnfecteerd met QSnatch. Staat die server in een bedrijf, dan heeft de crimineel ook voet aan grond in het bedrijfsnetwerk, om nog maar te zwijgen over toegang tot de back-ups en andere gevoelige data.

Oplossingen

QNAP zelf deelt een aantal best practices om infecties met QSnatch te voorkomen of verwijderen. Het komt er in essentie op neer om de recentste updates te installeren van zowel het OS als de Malware Remober en Security Counselor-toepassingen. Dat volstaat echter niet. Aangezien QSnatch logingegevens steelt, is het belangrijk om onmiddellijk na de updates alle wachtwoorden die toegang geven tot het systeem, aan te passen.

QNAP raadt verder nog aan om SSH en Telnet uit te schakelen wanneer je die niet nodig hebt. Ook het gebruik van standaardpoorten zoals 22, 443, 80, 8080 en 8081 wordt afgeraden. Wie een QNAP-server bezit, doet er goed aan om de beveiliging ervan meteen grondig na te kijken.

Het is niet de eerste keer dat QNAP-servers het slachtoffer worden van malware. Eerder dit jaar waren de toestellen nog het doelwit van een ransomware-aanval.