QNAP derruba servidor por trás de ataques brutos generalizados
24 de Outubro de 2023

A QNAP desativou um servidor malicioso usado em ataques generalizados de força bruta direcionados a dispositivos NAS (armazenamento conectado à rede) expostos à Internet com senhas fracas.

O fornecedor de hardware taiwanês detectou os ataques na noite de 14 de outubro e, com a assistência da Digital Ocean, derrubou o servidor de comando e controle (usado para controlar uma rede de centenas de sistemas infectados) em dois dias.

"A Equipe de Resposta a Incidentes de Segurança de Produtos QNAP (QNAP PSIRT) agiu rapidamente bloqueando com sucesso centenas de IPs de rede zumbi por meio do QuFirewall dentro de 7 horas, protegendo efetivamente inúmeros dispositivos QNAP NAS expostos à internet de mais ataques", disse a empresa.

"No prazo de 48 horas, eles também identificaram com sucesso o servidor C&C (Command & Control) e, em colaboração com o provedor de serviços em nuvem Digital Ocean, tomaram medidas para bloquear este servidor C&C, impedindo a situação de se agravar ainda mais."

A QNAP incentiva seus clientes a proteger seus dispositivos mudando o número da porta de acesso padrão, desativando o encaminhamento de porta em seus roteadores e UPnP no NAS, usando senhas robustas para suas contas, implementando políticas de senha e desativando a conta de administrador que é o alvo de ataques.

Também fornece instruções detalhadas sobre como implementar medidas defensivas em seu guia de segurança:

Desative a conta "admin" (página 30)
Defina senhas fortes para todas as contas de usuário e evite usar senhas fracas (página 34)
Atualize o firmware e os aplicativos QNAP NAS para as versões mais recentes (página 24)
Instale e ative o aplicativo QuFirewall (página 46)
Utilize o serviço de retransmissão myQNAPcloud Link para evitar que seu NAS seja exposto à internet. Se houver requisitos de largura de banda ou aplicações específicas necessitando de encaminhamento de porta, deve-se evitar o uso das portas padrão 8080 e 443 (página 39)

"Este ataque ocorreu no fim de semana, e a QNAP prontamente o identificou através da tecnologia em nuvem, localizando rapidamente a fonte do ataque e bloqueando-a", disse Stanley Huang, chefe do QNAP PSIRT, na semana passada.

"Isto não só ajudou os usuários do QNAP NAS a evitar danos, mas também protegeu outros usuários de armazenamento de serem afetados por esta onda de ataques."

A empresa regularmente adverte seus clientes a terem cuidado com ataques de força bruta contra dispositivos QNAP NAS expostos online, pois estes ataques frequentemente resultam em ataques de ransomware.

Os cibercriminosos frequentemente visam dispositivos NAS, com o objetivo de roubar ou criptografar documentos valiosos ou instalar malware de roubo de informações. Esses dispositivos são frequentemente usados para fazer backup e compartilhar arquivos sensíveis, tornando-os alvos valiosos para atores maliciosos.

Ataques recentes direcionados a dispositivos QNAP incluem as campanhas de ransomware DeadBolt, Checkmate, e eCh0raix que exploram vulnerabilidades de segurança para criptografar dados em dispositivos NAS expostos à Internet.

A Synology, outra fabricante taiwanesa de NAS, também alertou seus clientes em agosto de 2021 que seus dispositivos de armazenamento conectados à rede estavam sendo direcionados pela botnet StealthWorker em ataques contínuos de força bruta que poderiam levar a infecções por ransomware.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...