QSnatch: miles de dispositivos NAS de QNAP infectados

Miles de dispositivos NAS (Network Attached Storage o Almacenamiento conectado a la red, en español) del proveedor taiwanés QNAP se han visto afectados por una nueva variedad de malware llamada QSnatch.

Esta es la cuarta cepa de malware detectada este año que se ha dirigido a dispositivos NAS, siguiendo los pasos del ransomware que afectó a los dispositivos Synology, y de eCh0raix y Muhstik que afectaron a dispositivos QNAP.

Tan solo en Alemania se han reportado más de 7.000 infecciones de QSnatchsegún el CERT-Bund (Equipo Alemán de Respuesta a Emergencias Informáticas). Pero se estima que la cifra puede ser muy superior, con dispositivos infectados en todo el mundo.

La semana pasada, el Centro Nacional de Seguridad Cibernética de Finlandia (NCSC-FI) alertaba de esta nueva versión de malware. Aunque aún no se ha descubierto cómo se propaga e infecta los sistemas NAS QNAP, un análisis del código fuente de QSnatch ha revelado que dispone de las siguientes capacidades:

  • Modificar tareas y scripts programados (cronjob y scripts de inicio).
  • Evitar actualizaciones de firmware sobrescribiendo las URL de origen de la actualización.
  • Impedir que se ejecute la aplicación nativa QNAP MalwareRemover.
  • Extraer y robar nombres de usuario y contraseñas de todos los usuarios del dispositivo NAS.

Además, una vez obtenido acceso a un dispositivo, QSnatch inyecta código malicioso en el firmware para obtener persistencia ante el reinicio del mismo.

QSnatch es capaz de realizar varias actividades maliciosas en un dispositivo infectado: ataques DDoS, minar criptomonedas, actuar como puerta trasera para robar archivos sensibles, o alojar cargas de malware para futuros ciberataques. Además, debido a que QSnatch tiene la capacidad de conectarse a un servidor C2 remoto para descargar nuevos módulos y ejecutarlos posteriormente, se especula que actualmente podría encontrarse en la fase de creación de una botnet para desplegar ataques en un futuro.

Por el momento, el único método confirmado para eliminar QSnatch consiste en realizar un restablecimiento completo de fábrica del dispositivo NAS infectado. Aunque según algunas fuentes, la instalación de una actualización de firmware que QNAP liberó en febrero de 2019 también solucionaría el problema.

Por el momento, se recomienda a los propietarios de NAS QNAP que dichos dispositivos no estén expuestos a Internet sin firewalls para evitar ataques externos.

Otros consejos compartidos por los analistas de NCSC-FI para tratar las consecuencias de una infección QSnatch incluyen:

  • Cambiar todas las contraseñas para todas las cuentas en el dispositivo.
  • Eliminar cuentas de usuario desconocidas del dispositivo.
  • Asegurarse de que el firmware del dispositivo esté actualizado y que todas las aplicaciones también estén actualizadas.
  • Eliminar aplicaciones desconocidas o no utilizadas del dispositivo.
  • Instalar la aplicación QNAP MalwareRemover a través de la funcionalidad de App Center.
  • Establecer una lista de control de acceso para el dispositivo (Control panel -> Security -> Security level)

Por Juan José Ruiz