Lo scorso anno vi abbiamo informato di una nuova ondata di Qlocker, ransomware che aveva preso di mira i popolari NAS a marchio QNAP. Una volta infettato il dispositivo, Qlocker comprimeva i dati presenti in archivi protetti da password con 7-zip per poi chiedere un riscatto in Bitcoin, per la precisione pari a 0,01 BTC, per poter ricevere la chiave di cifratura. In passato anche altri ransomware, noti come eCh0raix e DeadBolt, avevano preso di mira i dispositivi dell'azienda non aggiornati: come vi abbiamo raccontato durante un'intervista con Alvise Sinigaglia, Italy Country Manager di QNAP, i problemi più gravi sorgono infatti quando gli utenti non aggiornano o non proteggono adeguatamente i dispositivi. Una volta informata del problema, QNAP rilascia tempestivamente una patch correttiva per arginarlo, ma l'utente deve installarla per essere al sicuro da potenziali attacchi; in caso contrario, i malintenzionati potranno sfruttare la vulnerabilità a piacimento.
Nelle ultime ore, l'azienda stessa ha avvertito i propri clienti di proteggere i propri apparati dal ransomware Checkmate, in particolare quelli con il servizio SMB abilitato e account con password deboli che potrebbero essere facilmente decifrate con attacchi a forza bruta.
Nell'avviso di sicurezza pubblicato di NAS lo scorso giovedì si legge:
Un nuovo ransomware noto come Checkmate è stato recentemente portato alla nostra attenzione. Le indagini preliminari indicano che Checkmate attacca tramite servizi SMB esposti a Internet e utilizza un attacco a dizionario per violare gli account con password deboli.
Nel caso l'attacco vada a buon fine, i malintenzionati chiedono alle vittime di pagare un riscatto di 15.000 dollari per ottenere un decriptatore e la chiave di decriptazione. Per accedere ai dispositivi, gli hacker sfruttano l'accesso remoto tramite account compromessi con attacchi a dizionario. Il ceppo di ransomware Checkmate è stato scoperto di recente ed è stato distribuito per la prima volta lo scorso 28 maggio. Dopo aver infettato un sistema, Checkmate cripta i file aggiungendo l'estensione .checkmate e crea una nota di riscatto chiamata denominata "!CHECKMATE_DECRYPTION_README".
Come proteggersi da Checkmate
Per evitare di cadere vittima di eventuali attacchi, QNAP consiglia di rivedere immediatamente tutti gli account NAS e assicurarsi di utilizzare password forti, nonché eseguire il backup dei file ed eseguire regolarmente snapshot di backup per ripristinare i dati in caso di problemi. È inoltre necessario disabilitare SMB 1 accedendo a QTS, QuTS hero o QuTScloud, andando su Pannello di controllo>Rete e file>Win/Mac/NFS/WebDAV>Microsoft Networking e selezionando "SMB 2 o superiore" dopo aver fatto clic su Opzioni avanzate. Infine, è fondamentale aggiornare il firmware alla versione più recente accedendo a QTS, QuTS hero o QuTScloud come amministratore e selezionando "Verifica aggiornamento" sotto "Aggiornamento in tempo reale" da Pannello di controllo> Sistema>Aggiornamento firmware.