A QNAP desativou um servidor malicioso usado em ataques generalizados de força bruta direcionados a dispositivos NAS (armazenamento conectado à rede) expostos à Internet com senhas fracas.
O fornecedor de hardware taiwanês detectou os ataques na noite de 14 de outubro e, com a assistência da Digital Ocean, derrubou o servidor de comando e controle (usado para controlar uma rede de centenas de sistemas infectados) em dois dias.
"A Equipe de Resposta a Incidentes de Segurança de Produtos QNAP (QNAP PSIRT) agiu rapidamente bloqueando com sucesso centenas de IPs de rede zumbi por meio do QuFirewall dentro de 7 horas, protegendo efetivamente inúmeros dispositivos QNAP NAS expostos à internet de mais ataques", disse a empresa.
"No prazo de 48 horas, eles também identificaram com sucesso o servidor C&C (Command & Control) e, em colaboração com o provedor de serviços em nuvem Digital Ocean, tomaram medidas para bloquear este servidor C&C, impedindo a situação de se agravar ainda mais."
A QNAP incentiva seus clientes a proteger seus dispositivos mudando o número da porta de acesso padrão, desativando o encaminhamento de porta em seus roteadores e UPnP no NAS, usando senhas robustas para suas contas, implementando políticas de senha e desativando a conta de administrador que é o alvo de ataques.
Também fornece instruções detalhadas sobre como implementar medidas defensivas em seu guia de segurança:
Desative a conta "admin" (página 30)
Defina senhas fortes para todas as contas de usuário e evite usar senhas fracas (página 34)
Atualize o firmware e os aplicativos QNAP NAS para as versões mais recentes (página 24)
Instale e ative o aplicativo QuFirewall (página 46)
Utilize o serviço de retransmissão myQNAPcloud Link para evitar que seu NAS seja exposto à internet. Se houver requisitos de largura de banda ou aplicações específicas necessitando de encaminhamento de porta, deve-se evitar o uso das portas padrão 8080 e 443 (página 39)
"Este ataque ocorreu no fim de semana, e a QNAP prontamente o identificou através da tecnologia em nuvem, localizando rapidamente a fonte do ataque e bloqueando-a", disse Stanley Huang, chefe do QNAP PSIRT, na semana passada.
"Isto não só ajudou os usuários do QNAP NAS a evitar danos, mas também protegeu outros usuários de armazenamento de serem afetados por esta onda de ataques."
A empresa regularmente adverte seus clientes a terem cuidado com ataques de força bruta contra dispositivos QNAP NAS expostos online, pois estes ataques frequentemente resultam em ataques de ransomware.
Os cibercriminosos frequentemente visam dispositivos NAS, com o objetivo de roubar ou criptografar documentos valiosos ou instalar malware de roubo de informações. Esses dispositivos são frequentemente usados para fazer backup e compartilhar arquivos sensíveis, tornando-os alvos valiosos para atores maliciosos.
Ataques recentes direcionados a dispositivos QNAP incluem as campanhas de ransomware DeadBolt, Checkmate, e eCh0raix que exploram vulnerabilidades de segurança para criptografar dados em dispositivos NAS expostos à Internet.
A Synology, outra fabricante taiwanesa de NAS, também alertou seus clientes em agosto de 2021 que seus dispositivos de armazenamento conectados à rede estavam sendo direcionados pela botnet StealthWorker em ataques contínuos de força bruta que poderiam levar a infecções por ransomware.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...