Attacco Hacker al NAS

[B747]

Maaa.... i vostri PC, sono puliti? Hanno un livello alto di sicurezza? Ecc.Ecc. Il 95% delle volte la gente se ne frega, dice tanti non ho niente e casomai cancello tutto. Se sapete qualcosa sulla sicurezza è perché avete letto una guida o un post (che non sapevate neanche che esistevano), e copiato a pappagallo, senza riflettere.
Torno alla domanda iniziale, i vostri pc, sono puliti? Hanno un livello alto di sicurezza? Ecc. Ecc. a me non pare! Lo dimostrano anche le domande che fate e le statistiche del forum.

scusa ma non capisco il tono del tuo messaggio, non ho letto ieri una guida per la prima volta ma ho visto QUELLA guida per la prima volta (che è ben diverso) tanto che nonostante ciò avevo già messo in pratica molti dei suggerimenti in essa contenuti, tranne alcuni (ad esempio il proxy) quindi è sicuramente un ottimo spunto per migliorare, ma da questo ad affermare che si fanno le cose a pappagallo senza capirle minimamente ce ne passa. La sicurezza IT è un argomento molto complesso, c'è parecchia gente che ci vive... Sono un informatico da oltre 30 anni (anche se in altro ambito) e certi argomenti un minimo li mastico, quindi non mi posso considerare un esperto ma neanche uno sprovveduto totale...

Detto questo, ovviamente non posso avere la certezza matematica che i miei pc siano sicuri al 100% e non so in quanti lo possano affermare, ma sta di fatto che maneggiando pc e internet dagli anni 90 non ho mai avuto a che fare con i virus in nessuna forma, questa è la prima volta e, se mi permetti, un articolo come questo https://www.bleepingcomputer.com/news/s ... p-devices/ che descrive al millimetro quello che è successo al mio nas (compreso il testo e nome del file del messaggio lasciato sul disco) pur essendo sempre prudente nelle affermazioni (ma vedo che non è una virtù di tutti) mi fa pensare più ad una falla del sistema che ad una mia carenza, ma, ripeto, non ci metterei mai la mano sul fuoco.

[selvaggi]

Domanda, nei vostri pc, avete installato il programma 7zip? Sono passati da li!

[B747]

Domanda, nei vostri pc, avete installato il programma 7zip? Sono passati da li!

ora non ho sottomano il pc e non ricordo se mi sia capitato di usarlo, di sicuro utilizzo abitualmente winrar, ma se fosse così, perchè non criptare il disco locale?

[contenitore21]

https://www.qnap.com/it-it/news/2021/re ... f=web_push

[federosso]

Maaa.... i vostri PC, sono puliti? Hanno un livello alto di sicurezza? Ecc.Ecc. Il 95% delle volte la gente se ne frega, dice tanti non ho niente e casomai cancello tutto. Se sapete qualcosa sulla sicurezza è perché avete letto una guida o un post (che non sapevate neanche che esistevano), e copiato a pappagallo, senza riflettere.
Torno alla domanda iniziale, i vostri pc, sono puliti? Hanno un livello alto di sicurezza? Ecc. Ecc. a me non pare! Lo dimostrano anche le domande che fate e le statistiche del forum.

Io non ripeto a pappagallo.
Evidentemente non sono un informatico, su questo non c'è dubbio.
Non per niente, appunto, parlo di configurazione "standard" del qnap e di aggiornamenti periodici.

L'archivio del qnap è l'unico che ha subito il problema su una rete di 7 pc. (nel mio caso) con antivirus installato (non sono un informatico e questo per la mia conoscenza è tutto quello che posso fare).
In prima istanza ho pensato onestamente ad un problema venuto dall'interno, poi ho trovato i molti topic in rete che parlano di questo problema (con tanto di aggiornamenti ad oc della casa madre) a livello molto vasto e dedicato ai sistemi qnap. Ne deduco (non sono un informatico) che i delinquenti hanno sfruttato una falla del sistema QNAP.

Un livello alto di sicurezza.
Qnap dovrebbe fornirmi al momento dell'acquisto i requisiti minimi di sicurezza a cui dovrei allineare tutti i pc della rete, se il loro sistema lo richiedesse.

[federosso]

Adesso ho letto una guida QNAP in cui dice di NON spegnere il nas...appunto: è la prima cosa che ho fatto -.-

[federosso]

Domanda, nei vostri pc, avete installato il programma 7zip? Sono passati da li!

non ho 7zip su nessun pc.

[PiaNi]

Magari dessero la possibilità (visto che è interessata) di disattivare la Console Multimediale!!

Se era colpa dei PC non puliti, Qnap non avrebbe fatto quelle guide, mi riferisco a queste qui:
https://www.qnap.com/it-it/security-advisory/qsa-21-11
https://www.qnap.com/it-it/security-advisory/qsa-21-13

Ciò non vuol dire che i pc devono essere dei colabrodi!!

[PiaNi]

non ho 7zip su nessun pc.

Ovviamente non usano 7zip installato sul pc, basta vedere gli screenshot del Controllo Risorse che girano in rete dove c'è una app con l'icona di 7zip.

Vi evidenzio che 7zip da poco è disponibile anche per linux.....

[lucam1970]

Ok ragazzi cerchiamo di aiutarci vicendevolmente perchè questo problema ci riguarda tutti, soprattutto visto che in questo caso hanno utilizzato le falle indicate in quel bullettin ma in un prossimo futuro potrebbero usarne altre al momento non note.

Personalmente ho aggiornato il mio NAS principale con l’ultima versione del firmware (1630) anche se nei giorni scorso erano sorti dei dubbi (in quanto per alcuni modelli il firmware stesso non è stato disponibile al download per un po’ di tempo.).

Contemporaneamente ho aggiornato anche i miei vecchi TS-412 e TS-421 perchè ho notato che Qnap ha fatto uscire delle nuove versioni anche del QTS 4.3.3, contenenti proprio fix ad alcune vulnerabilità.

Mi studierò meglio la tattica del proxy server per capire se e come implementarla nella mia lan domestica.

Sto pensando inoltre di settare HBS3 in modo che non sincronizzi con i due nas di backup i file con estensione .7z.
In questo modo qualora dovessi subire un attacco e non dovessi accorgermene per tempo, quantomeno il backup dei dati rimarrebbe salvo e integro.

Non so se esiste da qualche parte una lista delle estensioni con cui questa tipologia di ransomware cripta i file dei nas sotto attacco.
Potrebbe essere utile per aggiornare le policy di HBS3 (o di qualsiasi altro software di backup) in modo da mettere al sicuro i dati di backup.

[contenitore21]

Come dicevo prima, sul mio 212 non mi sembra di vedere danni, almeno apparenti. Ho installato malware remover e mi ha trovato l'MR1905. Sapete di che si tratta, come posso verificare se ha fatto danni (i files mi sembrano a posto e non vedo quelli di 7zip)? Consigli, oltre le raccomandazioni arrivate via mail da qnap e che ho postato ieri? Grazie

[B747]

La cosa assurda è che anche io ho malware remover e la scansione non mi ha trovato nulla... Cosa devo pensare?

[federosso]

Anche io sul ts212 che ho a casa non ho intravisto files *.7zip.
Comunque l'ho spento (ieri sono rientrato a casa tardi) e nel weekend farò tutti gli aggiornamenti del caso.

Per me resta il problema del NAS a lavoro TS 231 che risulta criptato al 90% e il backup non è disponibile.
Su questo veramente non so che fare e non nascondo una certa scocciatura nei confronti di QNAP.

[simic]

Per capire, lattacco arruva dall esterno o da un pc interno?
È il pc che crypta il nas, oppure è proprio un eseguibile/script per l’os del qnap?

[contenitore21]

Malware remover mi dice

Avvertimento 2021/04/22 15:48:36 System 127.0.0.1 localhost [Malware Remover] Removed the detected malware: MR1905 (QSnatch malware).

Avvertimento 2021/04/22 15:31:12 System 127.0.0.1 localhost [Malware Remover] Removed high-risk malware. Restart NAS and update all apps in 'App Center' > 'My Apps' > 'Install Updates'.

Ora il menu My apps Install updates io non ce l'ho, comunque ho verificato che tutte le app sono aggiornate e Multimedia console mi manca (forse sul 212 non c'è)

Inoltre poco fa mi è arrivata una notifica Qnap https://www.qnap.com/it-it/news/2021/ri ... l-qnap-nas

[PiaNi]

Nuovo aggiornamento di Malware Remove.

[federosso]

Mi hanno risposto questo:

"L’assistenza tecnica QNAP ha aggiornato il ticket di assistenza _____________ Per verificare il ticket, andare sul Portale clienti QNAP . Di seguito un’anteprima del ticket aggiornato:@@@
Gentile cliente,

grazie per aver contattato il supporto tecnico QNAP.

Come indicato nella newsletter della sicurezza QNAP, recentemente sono stati presi di mira alcuni device QNAP esposti su internet:
- https://www.qnap.com/en/news/2021/respo ... e-qnap-nas

Riteniamo che l'attacco sia correlato a CVE-2020-36195 e CVE-2021-28799:
- https://www.qnap.com/en/security-advisory/qsa-21-11
- https://www.qnap.com/en/security-advisory/qsa-21-13

Quindi consigliamo vivamente di aggiornare Multimedia Console, HBS3 e Media Streaming Add-on alla versione più recente.
Inoltre, modificare la porta web predefinita 8080 (e non riavviare o spegnere il NAS).

NOTA IMPORTANTE:
Se il processo crittografico ha completato la propria esecuzione o se il NAS è stato riavviato/spento, le procedure riportate di seguito nella comunicazione non possono essere più applicate.
In quel caso l'unico modo per ripristinare i dati è tramite un backup precedente dopo aver re-inizializzato il NAS.


Malware Remover contiene una nuova regola in grado di analizzare l'attacco ransomware e recupererare la chiave di crittografia se la crittografia è ancora in corso o se il NAS non è stato riavviato/spento.

Se il processo di criptazione dovesse essere ancora in running (NON riavviare il NAS o spegnerlo), basterà seguire questo workflow per recuperare la chiave di criptazione:

Method1

1. Install Malware Remover from APP Center and run it manually;
2. Connect nas over ssh:
https://www.qnap.com/en/how-to/knowledg ... nas-by-ssh
3. Use the command below to find if ransomware is still in progress.
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
4. If command back ‘No such file or directory’ means the NAS has been rebooted or encryption process has finished, if that is the case, unfortunately there is nothing that can be done to help;
5. If command has been executed without issue, you can see 7z.log in NAS at the Public folder, which will include password;
6. Password will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
7. You can reboot NAS and use the password to decrypt the files;
8. If you don’t know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.

Method2

1. Connect NAS over ssh;
https://www.qnap.com/en/how-to/knowledg ... nas-by-ssh
2. Use the command below to find out if ransomware is still in progress.
ps | grep 7z
3. If there is no 7z, it means the NAS has been rebooted or the encryption process has been finished, if that is the case, unfortunately there is nothing that can be done to help;
4. If 7z is running, copy/paste command below and press enter(1 line)
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. Wait a couple minutes to use cat to grep password;
cat /mnt/HDA_ROOT/7z.log
It will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
6. You can reboot NAS and use the password to decrypt the files;
7. If you don’t know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.


In allegato una guida QNAP per aumentare la sicurezza del proprio NAS quando viene esposto su internet:
https://www.qnap.com/it-it/how-to/faq/a ... za-del-nas

Faccia riferimento al seguente link con i consigli sulla sicurezza del proprio NAS:
https://www.qnap.com/en/security-advisories

Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata:
https://www.qnap.com/solution/topics-of-interest/it-it/

Il supporto QNAP non ha ulteriori consigli o workflow oltre quelli indicati,
Per gli utenti che avessero difficoltà ad eseguire quanto riportato possono rivolgersi a personale tecnico esterno di propria fiducia.
"

da QNAP mi aspettavo maggiore qualità del sistema di sicurezza.

[rdie77]

ma i file che sono stati criptati sono documenti o anche foto?

[B747]

ma i file che sono stati criptati sono documenti o anche foto?

Documenti, foto, film, musica...

[federosso]

Purtroppo ho dovuto pagare.
Spegnimento del Nas appena riscontrato il problema e backup inutilizzabile (per leggerezza mia) non mi hanno dato altra possibilità.

Vorrei però lasciare un pensiero, se mi ė permesso.
In queste ore mi sono confrontato alla ricerca di soluzioni su social e anche in questo stesso topic.
Da più parti (al limite della decenza) quando mi lamentavo della fallacia del sistema qnap mi sono sentito rispondere in modo ostile invece che comprensivo.
Nel tentativo di portare alta la bandiera qnap veniva messa sotto la lente la mia responsabilità.

Vorrei chiarire un concetto:
Io sono una vittima.
1 - gli hackers sono delinquenti
2 - qnap non ha previsto la possibilità di un attacco , che per un sistema di sicurezza mi pare grave. E lo dimostra che ė l'unico marchio ad aver subito un attacco specifico)
3 - io sono vittima e il mio investimento in un sistema di sicurezza non solo non è servito...ma ė stato proprio la causa del problema.

Ecco.
Ė come se andassi in giro con una scorta e venissi derubato da un amico della scorta stessa a conoscenza dei nostri movimenti.
E dopo mi venisse detto che ė colpa mia che portavo contanti in tasca, di non usare esclusivamente carte di credito con pin.
Invece di accusare il ladro e dubitare della serietà del bodyguard.

Scusate lo sfogo.
Ma me ne sono state dette abbastanza!