Attacco Hacker al NAS

Utilizzate questo forum per qualsiasi argomento che non è categorizzato altrove.
B747
Messaggi: 177
Iscritto il: 07 feb 2011, 10:24

Re: Attacco Hacker al NAS

Messaggio da B747 »

selvaggi ha scritto: 22 apr 2021, 14:26 Maaa.... i vostri PC, sono puliti? Hanno un livello alto di sicurezza? Ecc.Ecc. Il 95% delle volte la gente se ne frega, dice tanti non ho niente e casomai cancello tutto. Se sapete qualcosa sulla sicurezza è perché avete letto una guida o un post (che non sapevate neanche che esistevano), e copiato a pappagallo, senza riflettere.
Torno alla domanda iniziale, i vostri pc, sono puliti? Hanno un livello alto di sicurezza? Ecc. Ecc. a me non pare! Lo dimostrano anche le domande che fate e le statistiche del forum.
scusa ma non capisco il tono del tuo messaggio, non ho letto ieri una guida per la prima volta ma ho visto QUELLA guida per la prima volta (che è ben diverso) tanto che nonostante ciò avevo già messo in pratica molti dei suggerimenti in essa contenuti, tranne alcuni (ad esempio il proxy) quindi è sicuramente un ottimo spunto per migliorare, ma da questo ad affermare che si fanno le cose a pappagallo senza capirle minimamente ce ne passa. La sicurezza IT è un argomento molto complesso, c'è parecchia gente che ci vive... Sono un informatico da oltre 30 anni (anche se in altro ambito) e certi argomenti un minimo li mastico, quindi non mi posso considerare un esperto ma neanche uno sprovveduto totale...

Detto questo, ovviamente non posso avere la certezza matematica che i miei pc siano sicuri al 100% e non so in quanti lo possano affermare, ma sta di fatto che maneggiando pc e internet dagli anni 90 non ho mai avuto a che fare con i virus in nessuna forma, questa è la prima volta e, se mi permetti, un articolo come questo https://www.bleepingcomputer.com/news/s ... p-devices/ che descrive al millimetro quello che è successo al mio nas (compreso il testo e nome del file del messaggio lasciato sul disco) pur essendo sempre prudente nelle affermazioni (ma vedo che non è una virtù di tutti) mi fa pensare più ad una falla del sistema che ad una mia carenza, ma, ripeto, non ci metterei mai la mano sul fuoco.
Avatar utente
selvaggi
Messaggi: 1634
Iscritto il: 02 feb 2016, 14:30
Località: provincia di Ancona

Re: Attacco Hacker al NAS

Messaggio da selvaggi »

Domanda, nei vostri pc, avete installato il programma 7zip? Sono passati da li!
Qnap TS-251 : Tick : 2 HD 4TB Toshiba MD04ACA400 : Tick : 2 RAM 4GB Kingston KVR16LS11/4 : Tick : t&m logitech wireless combo mk270 : Tick : wi-fi TP-Link tl-wdn4200 : Tick :

: book : Tutorial : Sig : TS-251 App Center : Thumbup : TS-251 download : WohoW : Manuali : Tv Happy : /// : Question : : Question : Wikipedia : Ok :
B747
Messaggi: 177
Iscritto il: 07 feb 2011, 10:24

Re: Attacco Hacker al NAS

Messaggio da B747 »

selvaggi ha scritto: 22 apr 2021, 15:14 Domanda, nei vostri pc, avete installato il programma 7zip? Sono passati da li!
ora non ho sottomano il pc e non ricordo se mi sia capitato di usarlo, di sicuro utilizzo abitualmente winrar, ma se fosse così, perchè non criptare il disco locale?
Avatar utente
federosso
Messaggi: 42
Iscritto il: 12 ott 2014, 11:55
Località: Firenze

Re: Attacco Hacker al NAS

Messaggio da federosso »

selvaggi ha scritto: 22 apr 2021, 14:26 Maaa.... i vostri PC, sono puliti? Hanno un livello alto di sicurezza? Ecc.Ecc. Il 95% delle volte la gente se ne frega, dice tanti non ho niente e casomai cancello tutto. Se sapete qualcosa sulla sicurezza è perché avete letto una guida o un post (che non sapevate neanche che esistevano), e copiato a pappagallo, senza riflettere.
Torno alla domanda iniziale, i vostri pc, sono puliti? Hanno un livello alto di sicurezza? Ecc. Ecc. a me non pare! Lo dimostrano anche le domande che fate e le statistiche del forum.
Io non ripeto a pappagallo.
Evidentemente non sono un informatico, su questo non c'è dubbio.
Non per niente, appunto, parlo di configurazione "standard" del qnap e di aggiornamenti periodici.

L'archivio del qnap è l'unico che ha subito il problema su una rete di 7 pc. (nel mio caso) con antivirus installato (non sono un informatico e questo per la mia conoscenza è tutto quello che posso fare).
In prima istanza ho pensato onestamente ad un problema venuto dall'interno, poi ho trovato i molti topic in rete che parlano di questo problema (con tanto di aggiornamenti ad oc della casa madre) a livello molto vasto e dedicato ai sistemi qnap. Ne deduco (non sono un informatico) che i delinquenti hanno sfruttato una falla del sistema QNAP.

Un livello alto di sicurezza.
Qnap dovrebbe fornirmi al momento dell'acquisto i requisiti minimi di sicurezza a cui dovrei allineare tutti i pc della rete, se il loro sistema lo richiedesse.
velocità di topo di fogna...
Avatar utente
federosso
Messaggi: 42
Iscritto il: 12 ott 2014, 11:55
Località: Firenze

Re: Attacco Hacker al NAS

Messaggio da federosso »

Adesso ho letto una guida QNAP in cui dice di NON spegnere il nas...appunto: è la prima cosa che ho fatto -.-
velocità di topo di fogna...
Avatar utente
federosso
Messaggi: 42
Iscritto il: 12 ott 2014, 11:55
Località: Firenze

Re: Attacco Hacker al NAS

Messaggio da federosso »

selvaggi ha scritto: 22 apr 2021, 15:14 Domanda, nei vostri pc, avete installato il programma 7zip? Sono passati da li!

non ho 7zip su nessun pc.
Ultima modifica di federosso il 23 apr 2021, 09:23, modificato 1 volta in totale.
velocità di topo di fogna...
Avatar utente
PiaNi
Messaggi: 4182
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Attacco Hacker al NAS

Messaggio da PiaNi »

Magari dessero la possibilità (visto che è interessata) di disattivare la Console Multimediale!!

Se era colpa dei PC non puliti, Qnap non avrebbe fatto quelle guide, mi riferisco a queste qui:
https://www.qnap.com/it-it/security-advisory/qsa-21-11
https://www.qnap.com/it-it/security-advisory/qsa-21-13

Ciò non vuol dire che i pc devono essere dei colabrodi!!
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
Avatar utente
PiaNi
Messaggi: 4182
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Attacco Hacker al NAS

Messaggio da PiaNi »

federosso ha scritto: 22 apr 2021, 15:45 non ho 7zip su nessun pc.
Ovviamente non usano 7zip installato sul pc, basta vedere gli screenshot del Controllo Risorse che girano in rete dove c'è una app con l'icona di 7zip.

Vi evidenzio che 7zip da poco è disponibile anche per linux.....
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
Avatar utente
lucam1970
Messaggi: 708
Iscritto il: 28 gen 2012, 01:02

Re: Attacco Hacker al NAS

Messaggio da lucam1970 »

Ok ragazzi cerchiamo di aiutarci vicendevolmente perchè questo problema ci riguarda tutti, soprattutto visto che in questo caso hanno utilizzato le falle indicate in quel bullettin ma in un prossimo futuro potrebbero usarne altre al momento non note.

Personalmente ho aggiornato il mio NAS principale con l’ultima versione del firmware (1630) anche se nei giorni scorso erano sorti dei dubbi (in quanto per alcuni modelli il firmware stesso non è stato disponibile al download per un po’ di tempo.).

Contemporaneamente ho aggiornato anche i miei vecchi TS-412 e TS-421 perchè ho notato che Qnap ha fatto uscire delle nuove versioni anche del QTS 4.3.3, contenenti proprio fix ad alcune vulnerabilità.

Mi studierò meglio la tattica del proxy server per capire se e come implementarla nella mia lan domestica.

Sto pensando inoltre di settare HBS3 in modo che non sincronizzi con i due nas di backup i file con estensione .7z.
In questo modo qualora dovessi subire un attacco e non dovessi accorgermene per tempo, quantomeno il backup dei dati rimarrebbe salvo e integro.

Non so se esiste da qualche parte una lista delle estensioni con cui questa tipologia di ransomware cripta i file dei nas sotto attacco.
Potrebbe essere utile per aggiornare le policy di HBS3 (o di qualsiasi altro software di backup) in modo da mettere al sicuro i dati di backup.
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
contenitore21
Messaggi: 494
Iscritto il: 14 lug 2013, 15:58

Re: Attacco Hacker al NAS

Messaggio da contenitore21 »

Come dicevo prima, sul mio 212 non mi sembra di vedere danni, almeno apparenti. Ho installato malware remover e mi ha trovato l'MR1905. Sapete di che si tratta, come posso verificare se ha fatto danni (i files mi sembrano a posto e non vedo quelli di 7zip)? Consigli, oltre le raccomandazioni arrivate via mail da qnap e che ho postato ieri? Grazie
B747
Messaggi: 177
Iscritto il: 07 feb 2011, 10:24

Re: Attacco Hacker al NAS

Messaggio da B747 »

La cosa assurda è che anche io ho malware remover e la scansione non mi ha trovato nulla... Cosa devo pensare?
Ultima modifica di B747 il 23 apr 2021, 09:26, modificato 1 volta in totale.
Avatar utente
federosso
Messaggi: 42
Iscritto il: 12 ott 2014, 11:55
Località: Firenze

Re: Attacco Hacker al NAS

Messaggio da federosso »

Anche io sul ts212 che ho a casa non ho intravisto files *.7zip.
Comunque l'ho spento (ieri sono rientrato a casa tardi) e nel weekend farò tutti gli aggiornamenti del caso.

Per me resta il problema del NAS a lavoro TS 231 che risulta criptato al 90% e il backup non è disponibile.
Su questo veramente non so che fare e non nascondo una certa scocciatura nei confronti di QNAP.
velocità di topo di fogna...
simic
Messaggi: 37
Iscritto il: 26 nov 2013, 01:29

Re: Attacco Hacker al NAS

Messaggio da simic »

Per capire, lattacco arruva dall esterno o da un pc interno?
È il pc che crypta il nas, oppure è proprio un eseguibile/script per l’os del qnap?
contenitore21
Messaggi: 494
Iscritto il: 14 lug 2013, 15:58

Re: Attacco Hacker al NAS

Messaggio da contenitore21 »

Malware remover mi dice

Avvertimento 2021/04/22 15:48:36 System 127.0.0.1 localhost [Malware Remover] Removed the detected malware: MR1905 (QSnatch malware).

Avvertimento 2021/04/22 15:31:12 System 127.0.0.1 localhost [Malware Remover] Removed high-risk malware. Restart NAS and update all apps in 'App Center' > 'My Apps' > 'Install Updates'.

Ora il menu My apps Install updates io non ce l'ho, comunque ho verificato che tutte le app sono aggiornate e Multimedia console mi manca (forse sul 212 non c'è)

Inoltre poco fa mi è arrivata una notifica Qnap https://www.qnap.com/it-it/news/2021/ri ... l-qnap-nas
Avatar utente
PiaNi
Messaggi: 4182
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Attacco Hacker al NAS

Messaggio da PiaNi »

Nuovo aggiornamento di Malware Remove.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
Avatar utente
federosso
Messaggi: 42
Iscritto il: 12 ott 2014, 11:55
Località: Firenze

Re: Attacco Hacker al NAS

Messaggio da federosso »

Mi hanno risposto questo:

"L’assistenza tecnica QNAP ha aggiornato il ticket di assistenza _____________ Per verificare il ticket, andare sul Portale clienti QNAP . Di seguito un’anteprima del ticket aggiornato:@@@
Gentile cliente,

grazie per aver contattato il supporto tecnico QNAP.

Come indicato nella newsletter della sicurezza QNAP, recentemente sono stati presi di mira alcuni device QNAP esposti su internet:
- https://www.qnap.com/en/news/2021/respo ... e-qnap-nas

Riteniamo che l'attacco sia correlato a CVE-2020-36195 e CVE-2021-28799:
- https://www.qnap.com/en/security-advisory/qsa-21-11
- https://www.qnap.com/en/security-advisory/qsa-21-13

Quindi consigliamo vivamente di aggiornare Multimedia Console, HBS3 e Media Streaming Add-on alla versione più recente.
Inoltre, modificare la porta web predefinita 8080 (e non riavviare o spegnere il NAS).

NOTA IMPORTANTE:
Se il processo crittografico ha completato la propria esecuzione o se il NAS è stato riavviato/spento, le procedure riportate di seguito nella comunicazione non possono essere più applicate.
In quel caso l'unico modo per ripristinare i dati è tramite un backup precedente dopo aver re-inizializzato il NAS.


Malware Remover contiene una nuova regola in grado di analizzare l'attacco ransomware e recupererare la chiave di crittografia se la crittografia è ancora in corso o se il NAS non è stato riavviato/spento.

Se il processo di criptazione dovesse essere ancora in running (NON riavviare il NAS o spegnerlo), basterà seguire questo workflow per recuperare la chiave di criptazione:

Method1

1. Install Malware Remover from APP Center and run it manually;
2. Connect nas over ssh:
https://www.qnap.com/en/how-to/knowledg ... nas-by-ssh
3. Use the command below to find if ransomware is still in progress.
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
4. If command back ‘No such file or directory’ means the NAS has been rebooted or encryption process has finished, if that is the case, unfortunately there is nothing that can be done to help;
5. If command has been executed without issue, you can see 7z.log in NAS at the Public folder, which will include password;
6. Password will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
7. You can reboot NAS and use the password to decrypt the files;
8. If you don’t know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.

Method2

1. Connect NAS over ssh;
https://www.qnap.com/en/how-to/knowledg ... nas-by-ssh
2. Use the command below to find out if ransomware is still in progress.
ps | grep 7z
3. If there is no 7z, it means the NAS has been rebooted or the encryption process has been finished, if that is the case, unfortunately there is nothing that can be done to help;
4. If 7z is running, copy/paste command below and press enter(1 line)
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. Wait a couple minutes to use cat to grep password;
cat /mnt/HDA_ROOT/7z.log
It will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
6. You can reboot NAS and use the password to decrypt the files;
7. If you don’t know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.


In allegato una guida QNAP per aumentare la sicurezza del proprio NAS quando viene esposto su internet:
https://www.qnap.com/it-it/how-to/faq/a ... za-del-nas

Faccia riferimento al seguente link con i consigli sulla sicurezza del proprio NAS:
https://www.qnap.com/en/security-advisories

Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata:
https://www.qnap.com/solution/topics-of-interest/it-it/

Il supporto QNAP non ha ulteriori consigli o workflow oltre quelli indicati,
Per gli utenti che avessero difficoltà ad eseguire quanto riportato possono rivolgersi a personale tecnico esterno di propria fiducia.
"

da QNAP mi aspettavo maggiore qualità del sistema di sicurezza.
velocità di topo di fogna...
rdie77
Messaggi: 61
Iscritto il: 18 mag 2019, 12:50

Re: Attacco Hacker al NAS

Messaggio da rdie77 »

ma i file che sono stati criptati sono documenti o anche foto?
B747
Messaggi: 177
Iscritto il: 07 feb 2011, 10:24

Re: Attacco Hacker al NAS

Messaggio da B747 »

rdie77 ha scritto:ma i file che sono stati criptati sono documenti o anche foto?
Documenti, foto, film, musica...
Avatar utente
federosso
Messaggi: 42
Iscritto il: 12 ott 2014, 11:55
Località: Firenze

Re: Attacco Hacker al NAS

Messaggio da federosso »

Purtroppo ho dovuto pagare.
Spegnimento del Nas appena riscontrato il problema e backup inutilizzabile (per leggerezza mia) non mi hanno dato altra possibilità.

Vorrei però lasciare un pensiero, se mi ė permesso.
In queste ore mi sono confrontato alla ricerca di soluzioni su social e anche in questo stesso topic.
Da più parti (al limite della decenza) quando mi lamentavo della fallacia del sistema qnap mi sono sentito rispondere in modo ostile invece che comprensivo.
Nel tentativo di portare alta la bandiera qnap veniva messa sotto la lente la mia responsabilità.

Vorrei chiarire un concetto:
Io sono una vittima.
1 - gli hackers sono delinquenti
2 - qnap non ha previsto la possibilità di un attacco , che per un sistema di sicurezza mi pare grave. E lo dimostra che ė l'unico marchio ad aver subito un attacco specifico)
3 - io sono vittima e il mio investimento in un sistema di sicurezza non solo non è servito...ma ė stato proprio la causa del problema.

Ecco.
Ė come se andassi in giro con una scorta e venissi derubato da un amico della scorta stessa a conoscenza dei nostri movimenti.
E dopo mi venisse detto che ė colpa mia che portavo contanti in tasca, di non usare esclusivamente carte di credito con pin.
Invece di accusare il ladro e dubitare della serietà del bodyguard.

Scusate lo sfogo.
Ma me ne sono state dette abbastanza!
velocità di topo di fogna...
Rispondi