Autoridades advierten sobre 62.000 dispositivos QNAP NAS infectados con el malware QSnatch

Las autoridades de Estados Unidos y el Reino Unido han emitido un informe conjunto en el que advierten sobre dos campañas del malware QSnatch que están afectando a decenas de miles de dispositivos de almacenamiento conectado a red (NAS) del fabricante taiwanés QNAP.
El Centro Nacional de Seguridad Informática (NCSC) de los Estados Unidos y la Agencia de Infraestructura de Ciberseguridad (CISA) del Departamento de Seguridad Nacional del Reino Unido aseguran que hasta mediados de junio, el malware QSnatch había infectado 62.000 dispositivos QNAP NAS: 7.600 en Estados Unidos y 3.900 en el Reino Unido.
La amenaza es capaz de registrar y robar contraseñas y credenciales de acceso, establecer una puerta trasera SSH y webshell, recolectar archivos y evitar que los usuarios abran la aplicación de seguridad de QNAP o instalen actualizaciones que puedan neutralizar la amenaza.
Aunque se han descubierto muchos detalles operativos sobre el malware, todavía no se sabe cómo se propaga. Sin embargo, las entidades que emitieron la alerta dijeron que es posible que se inyecte en el firmware del dispositivo durante la etapa de infección y después se ejecute el código malicioso desde la aplicación para terminar de comprometerla.
“Aunque no se conocen las identidades y objetivos de aquellos que están usando QSnatch con malas intenciones, se sabe que el malware es relativamente sofisticado y quienes lo usan tienen los conocimientos de seguridad necesarios para hacerlo funcionar”, dice la alerta emitida por las autoridades.
Se han detectado variantes del malware atacando los dispositivos durante varios años, pero las entidades se centraron en dos campañas que difundieron la amenaza: la primera estuvo activa desde 2014 hasta mediados de 2017, y la última se realizó desde finales de 2018 hasta finales de 2019. Ambas campañas utilizaron variantes diferentes de QSnatch.
“QSnatch recolecta información confidencial de dispositivos infectados, incluyendo credenciales de acceso y configuraciones del sistema. Debido a esto, es posible que los dispositivos QNAP que hayan sido infectados sigan vulnerables a volverse a infectar después de eliminar el malware”, dijo QNAP después de emitir sus actualizaciones de seguridad en 2019.
Las autoridades dicen que la infraestructura del servidor de QSnatch que se usó en la última campaña maliciosa está desactivada, pero que los dispositivos infectados siguen activos en Internet. Es por eso que NCSC y CISA piden a los usuarios de QNAP que sigan las estrategias de mitigación propiciadas por la empresa para deshacerse de la infección de QSnatch y prevenir infecciones futuras.
Fuentes
CISA says 62,000 QNAP NAS devices have been infected with the QSnatch malware ZDNet
62,000 QNAP NAS devices infected with persistent QSnatch malware Help Net Security
UK/US Governments Warn of QNAP NAS Malware Infosecurity Magazine

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *