lunedì 29 agosto 2022
Nuovo ransomware bersaglia i NAS Qnap: Checkmate è già in diffusione in Italia
Stiamo ricevendo molte segnalazioni e richieste di supporto da parte di utenti italiani di NAS Qnap colpiti da attacco ransomware. La nuova minaccia si chiama Checkmate.
Il nuovo ransomware Checkmate: è specializzato in NAS Qnap
Il vendor QNAP ha pubblicato un alert relativo ad una nuova operazione ransomware che sta bersagliando i NAS QNAP: il malware si chiama Checkmate e mira alla criptazione di tutti i dati contenuti nei NAS. Nell'alert l'azienda spiega che Checkmate mira i dispositivi QNAP esposti sul web con i servizi SMB attivi e account con password deboli facilmente cracckabili con attacchi di brute-force. Le prime analisi hanno infatti portato a scoprire che il ransomware utilizza un attacco a dizionario per accedere agli account protetti con password deboli. Una volta che gli attaccanti hanno violato l'account, eseguono login da remoto sul dispositivo esposto: procedono quindi a distribuire il ransomware
Checkmate è stato individuato in diffusione per la prima volta intorno al 28 di Maggio: è individuabile a colpo d'occhio perché aggiunge ai file criptati l'estensione .checkmate e la nota di riscatto si chiama !CHECKMATE_DECRYPTION_README. Nella foto sotto, la nota di riscatto: mediamente sono richiesti 15.000 dollari in Bitcoin.
Esempio di nota di riscatto di Checkmate
CheckMate non è al momento risolvibile senza ottenere la chiave di criptazione dagli attaccanti (opzione sconsigliabile). Questo ransomware infatti genera chiavi di criptazione uniche, cioè specifiche, per ogni singola vittima e lo fa in maniera sicura. In genere i ransomware che generano chiavi specifiche sfruttano algoritmi di criptazione come AES, Salsa20, RSA ecc... che non possono essere "forzati" tramite attacchi di brute-forcing.
Prevenire l'attacco è quindi, attualmente, l'unica strategia attuabile per evitare la perdita dei propri dati.
Come proteggersi e bloccare gli attacchi di Checkmate
L'azienda ha consigliato ai clienti di non esporre i propri dispositivi NAS all'accesso Internet e di usare una VPN per ridurre la superficie di attacco e bloccare i tentativi di login degli attaccanti negli account compromessi.
L'alert di QNAP > Checkmate Ransomware via SMB Services Exposed to the Internet
QNAP ha invitato inoltre ad eseguire una revisione di tutti gli account presenti nei NAS, assicurandosi che siano protetti con password solide, a backuppare i dati presenti e ad eseguire backup a cadenza regolare perché siano sempre disponibili per eseguire il ripristino.
E' consigliato anche di disabilitare l'SMB1. Per farlo in QTS, QuTS hero o QuTScloud occorre andare in Pannello di Controllo > Rete & File > Win/Mac/NFS/WebDAV > Microsoft Networking e selezionare SMB2 o superiore, dopo aver cliccato su Opzioni Avanzate.
In ultimo, QNAP ricorda l'importanza di aggiornare il firmware del dispositivo all'ultima versione disponibile. Per farlo in QTS, QuTS hero o QuTScloud occorre accedere come amministratore e selezionare "Verifica aggiornamento" sotto "Aggiornamento in tempo reale" da Pannello di Controllo > Sistema > Aggiornamento firmware.
CheckMate non è da solo...
Che per i NAS QNAP sia un periodo difficile, che dura ormai almeno da un paio di anni, è un dato di fatto. Il vendor è un bersaglio continuo di attacchi ransomware, spinti dalla popolarità e diffusione dei NAS dell'azienda taiwanese. A Giugno già erano state registrate ondate di attacchi dei ransomware eChoraix e DeadBolt.
Per approfondire > Nuova ondata di attacchi ransomware contro i NAS QNAP: di nuovo eChoraix
Vista la situazione, ricordiamo che abbiamo pubblicato un contributo che riassumo le contromisure per proteggere i dispositivi NAS QNAP tenendo di conto delle indicazioni del vendor e dei nostri esperti di criptazione.
Per saperne di più > NAS QNAP - il ransomware Qlocker torna a colpire (anche in Italia) e non è l'unico: cosa è utile sapere, cosa serve fare
Se hai bisogno di supporto e assistenza...
Ricordiamo che le criptazioni di DeadBolt, Checkmate e eChoraix, non sono attualmente risolvibili gratuitamente. Sono invece decriptabili le infezioni di eChoraix avvenute nel 2019. Se hai bisogno di supporto e assistenza contattaci all'indirizzo email alessandro@nwkcloud.com o visita il sito https://www.decryptolocker.it