Barion Pixel
Szerző: 112Press 2019. október 04.

Zsarolóvírus támadja a QNAP NAS-okat

Október elsejétől jeleztek tömeges fertőzést, ami a legfrissebb meghajtóprogrammal rendelkező hálózati adattárolókat sem kíméli. A vírus titkosítja a fájlokat és a támadás mögött állók pénzt kérnek a fájlok titkosításának visszafejtéséért.

Frissítés:  A QNAP által kiadott közlemény alapján a támadás azokat a gépeket érte, amelyek phpMyAdmin-t futtatnak, az SQL-kiszolgálót pedig gyenge, vagy alapértelmezett jelszóval védték. A kódolt adatok visszaállítására még nincs visszafejtő program, a cyberbűnözők által kínált megoldás fórumbejegyzések alapján működött néhány embernél, azonban ezt sem kell készpénznek venni, lehet a zsarolók önreklámja is, hogy minél többen fizessenek. A közlemény a cikk végén található, angol nyelven.
 
Korábban írtuk:
 
A támadásnak magyar érintettjei is vannak, akik jellemzően több terabájtnyi adatot veszítettek el, vagy ideiglenesen, vagy végleg. A NAS a Network Attached Storage (hálózati adattároló) rövidítése és a NAS-ok egyre népszerűbbek a háztartásokban is, mivel a rajtuk tárolt adatokat (pl. képeket, dokumentumokat, filmeket, zenéket, munkafájlokat)  a hozzáféréssel rendelkezők a világ bármely pontjáról elérhetik, ahol van Internet. Ráadásul ezek az eszközök képesek folyamatosan biztonsági másolatot készíteni pl. a mobiltelefonok adatairól is.
 
zsv6
 
Egy szombathelyi cég vezetője csütörtökön éjszaka szembesült azzal, hogy valami nincs rendben  a céges NAS-sal.
 
zsv8
 
-Éjjel nem tudtam aludni és rá akartam nézni a biztonsági kameránk aktuális felvételére, hogy beérkezett-e a várt jármű a parkolóba, mivel a kamera is a NAS-ra rögzíti a képeket.  Ugyanúgy bejelentkeztem, mint máskor, de a képek nem jelentek meg a kijelzőn, helyettük üres négyzeteket láttam, majd megpillantottam  egy README_FOR_DECRYPT.TXT nevű fájlt. Azonnal tudtam, hogy miről lehet szó - mondta el a 112Press kérdésére a cégvezető.
 
zsv10
 
-A levélben angolul az áll, hogy az összes fájlunkat titkosították és két szervernevet adtak meg, ahol elérjük a váltságdíj befizetéséhez szükséges oldalt. Hozzátették, hogy ezek bármikor eltűnhetnek. Nem kattintottam a linkre, nem fizetünk a kalózoknak, annak ellenére, hogy egyelőre nincs megoldás a "muhstik" zsarolóvírusra
 
nas
 
-A mi NAS-unkban 4 darab 4 terabájtos merevlemez dolgozik, ebből kettő biztonsági másolatként funkcionál. Összesen kb. 5 TB adat került veszélybe, a NAS leállításakor a zsarolóvírus még nem végzett a teljes kötettel, becslésem szerint a háromnegyedét tudta titkosítani. Sajnos ez a biztonsági másolatot is érintette. A sebességét illetően elmondhatom, hogy másodpercenként kb. 50 megabájtot titkosított, ezt a képek módosításának dátumaiból látom, a fájlok keletkezésének időpontja ugyanis módosult, amikor azok .mushtik kiterjesztést kaptak. Ez azt jelenti, hogy óránként kb. 180 gigabájt adatot zároltak a kalózok. A népszerű kiterjesztésekre utaztak, dokumentumok, képek és videók estek áldozatul.
 
zsv7
 
Az internetes fórumok alapján a támadás október elsején tetőzött, rengetegen vesztették el sok adatukat. A zsarolóvírus látszólag a QNAP készülékeire van kihegyezve, a belépő szinttől a prémium NAS-okig érkeztek jelzések fertőzésről és ezzel együtt adatvesztésről. A fájlok ugyan elvileg megvannak, de egyelőre semmi garancia nincs arra, hogy visszaállíthatók lennének. Fontos megjegyezni, hogy a fertőzés többeknél a legújabb verzióra frissítés után jelentkezett, tehát az sem nyújt védelmet.
 
zsv12
 
-Malware és víruskereső is fut a NAS-unkon. A naplót megnézve nincs idegen behatolás a gépen, ahová csak biztonságos (https) bejelentkezéssel és kétlépcsős azonosítással lehet belépni. A ma reggeli gyors vizsgálatunk eredménye alapján egyetlen ismert sebezhetőség nem lett javítva a NAS-on, az pedig az SQL kiszolgáló alapértelmezett root jelszava. Várjuk a szakemberek megoldási javaslatait és bízunk benne, hogy sikerül megoldást találni erre az ocsmány bűncselekményre.
 
zsv4
 
Mivel pénteken délelőtt még csak tanácstalan üzenetek tucatjait olvastuk különböző fórumokon, de megoldást még sehol, ezért javasoljuk, hogy azokat a QNAP NAS-okat, amelyek nem nélkülözhetetlenek a napi munkában állítsák le az üzemeltetők, amíg lesz valamilyen épkézláb védelem a Mushtik zsarolóvírus ellen. A munkához fontos NAS-ok védelmére sem láttunk eddig működő metódust, mivel a legfrissebb meghajtóprogram, a kétlépcsős azonosítás, a futó és legfrissebb adatbázisú vírus- és malware detektor nem tudta megakadályozni a fertőzést.

zsv5

Bitcoinban követelik a váltságdíjat
 
Megnéztük, mit kérnek a zsarolók cserébe a fájlok feloldásáért. A szombathelyi cégvezetőnek jelenleg 0,09 Bitcoint kellene fizetnie, ami egészen addig nem tűnik soknak, amíg mellé nem tesszük, hogy a Bitcoin jelenlegi árfolyama 2,47 millió forint, azaz három órán belül 223 ezer forintot kellene megfizetnie ismeretlen zsarolóknak. Az összeg 48 óránként megduplázódik.
 
zsv1
 
És hogy ne legyen kétség affelől, hogy vissza tudják fejteni az adatokat, a zsarolók azt ígérik, hogy egy fájlt ingyen visszafejtenek, amivel bizonyítják, hogy képesek rá.

zsv2

Ez azonban nem jelenti azt, hogy az összeg befizetése után vissza is állítják a titkosított adatokat.

zsv3

Frissítés: A QNAP közleménye (2019.10.04.)

Security Advisory for Muhstik Ransomware

  • Release date: October 4, 2019
  • Security ID: NAS-201910-02
  • Severity: High
  • CVE identifier: N/A
  • Affected products: QNAP NAS devices

Summary

The Muhstik ransomware is reportedly being used to target QNAP NAS devices. Devices using weak SQL server passwords and running phpMyAdmin may be more vulnerable to attacks.

We strongly recommend that users act immediately to protect their data from possible malware attacks.

If you have any questions regarding this issue, contact us through the QNAP Helpdesk.

Recommendation

To avoid attacks, you must:

  1. Use a stronger password for phpMyAdmin.
  2. Keep phpMyAdmin disabled whenever possible. Only enable this application when configuring settings.
  3. Update QTS to the latest version.
  4. Install and update Security Counselor to the latest version.
  5. Use a stronger admin password.
  6. Enable Network Access Protection to protect accounts from brute force attacks.
  7. Disable SSH and Telnet services if you are not using them.
  8. Avoid using default port numbers 443 and 8080.
  9. Update phpMyAdmin to the latest version.

Changing the password for phpMyAdmin

  1. Log on to QTS as administrator.
  2. Open the App Center, and then click the Search icon.
    A search box appears.
  3. Type “phpMyAdmin” and then press ENTER.
    The phpMyAdmin application appears in the search results list.
  4. Click Open.
    phpMyAdmin opens in a new tab.
  5. Log on to phpMyAdmin as root.
  6. Under General settings, click Change password.
    The Change password window appears.
  7. Select Password.
  8. Specify the new password.
    QNAP recommends the following criteria to improve password strength:
    • Should be at least 8 characters in length
    • Should include both uppercase and lowercase characters
    • Should include at least one number and one special character
    • Must not be the same as the username or the username reversed
    • Must not include characters that are consecutively repeated three or more times
  9. Verify the new password.
  10. Click Go.
    The password is changed.

Disabling phpMyAdmin

  1. Log on to QTS as administrator.
  2. Open the App Center, and then click the Search icon.
    A search box appears.
  3. Type “phpMyAdmin”, and then press ENTER.
    The phpMyAdmin application appears in the search results list.
  4. Click V and then select Stop.
    The application is disabled.

Installing the QTS Update

  1. Log on to QTS as administrator.
  2. Go to Control Panel > System > Firmware Update.
  3. Under Live Update, click Check for Update.
    QTS downloads and installs the latest available update.

Installing/Updating and running the latest version of Security Counselor

  1. Log on to QTS as administrator.
  2. Open the App Center, and then click the Search icon.
    A search box appears.
  3. Type “Security Counselor”, and then press ENTER.
    The Security Counselor application appears in the search results list.
  4. Click Install or Update.
    A confirmation message appears.
  5. Click OK.
    The application is installed or updated to the latest version.
  6. Open Security Counselor.
  7. Click Start Scan.
    Security Counselor scans the NAS for rules.

Changing the Device Password

  1. Log on to QTS as administrator.
  2. Click the profile picture on the QTS Task Bar.
    The Options window opens.
  3. Click Change Password.
  4. Specify the old password.
  5. Specify the new password.
    QNAP recommends the following criteria to improve password strength:
    • Should be at least 8 characters in length
    • Should include both uppercase and lowercase characters
    • Should include at least one number and one special character
    • Must not be the same as the username or the username reversed
    • Must not include characters that are consecutively repeated three or more times
  6. Verify the new password.
  7. Click Apply.

Enabling Network Access Protection

  1. Log on to QTS as administrator.
  2. Go to Control Panel > System > Security > Network Access Protection.
  3. Configure SSH protection.
    1. Select SSH.
    2. Specify a time period and the number of failed login attempts.
  4. Configure HTTP(S) protection.
    1. Select HTTP(S).
    2. Specify a time period and the number of failed login attempts.
  5. Click Apply.

Disabling SSH and Telnet Connections

  1. Log on to QTS as administrator.
  2. Go to Control Panel > Network & File Services > Telnet/SSH.
  3. Deselect Allow Telnet connection.
  4. Deselect Allow SSH connection.
  5. Click Apply.

Changing the System Port Number

  1. Log on to QTS as administrator.
  2. Go to Control Panel > System > General Settings > System Administration.
  3. Specify a new system port number.
    Warning: Do not use 443 or 8080.
  4. Click Apply.

Changing the SQL Server default password

  1. Log on to QTS as administrator.
  2. Go to Control Panel > Applications > SQL Server  > Change Root Password.
  3. Specify a new root password.
    Warning: Do not use default or a simple password.
  4. Click Apply.

Updating phpMyAdmin to the latest version.

  1. Log on to QTS as administrator.
  2. Open the App Center, and then click the Search icon.
    A search box appears.
  3. Type “phpMyAdmin”, and then press ENTER.
    The phpMyAdmin application appears in the search results list.
  4. Click Update.
    A confirmation message appears.
    Note: This option is not available if your application is already up to date.
  5. Click OK.
    The application is updated to the latest version.

Hozzászólások

A cikkekhez csak regisztrált felhasználóink szólhatnak hozzá.
Kérjük, jelentkezzen be, vagy ha még nem tette, regisztráljon.

A szerkesztőség fenntartja magának a jogot, hogy a cikkekhez nem kapcsolódó kommenteket moderálja, törölje.