Dispositivi di rete QNAP presi di mira dal nuovo malware Dovecat

··1 min read
Dario Fadda

QNAP, un fornitore di hardware con sede a Taiwan, ha pubblicato un avviso di sicurezza su una nuova minaccia malware. Il malware denominato Dovecat sta prendendo di mira attivamente i dispositivi NAS (Network-Attached Storage). Utilizza le risorse locali dei sistemi infetti per minare criptovaluta all’insaputa degli utenti.

Cos’è successo?

L’avviso di sicurezza è stato rilasciato dopo che la società ha iniziato a ricevere segnalazioni dai suoi utenti, lo scorso anno, riguardanti due processi sconosciuti (dovecat e dedpma). Entrambi i processi consumavano la memoria del dispositivo e funzionavano senza interruzioni per estrarre la criptovaluta, successivamente identificati come Dovecat.

  • Il malware può infettare i sistemi Linux. Tuttavia, è stato creato specificamente per indirizzare la struttura interna dei dispositivi QNAP NAS. Si propaga mirando a password deboli.
  • Il malware utilizza il nome del processo dovecat per un certo motivo. Prova a passare i controlli di sicurezza come Dovecot, un demone di posta elettronica valido fornito con il firmware QNAP e presente in diverse distribuzioni Linux.
  • Inoltre, è stato segnalato che lo stesso malware prendeva di mira gli utenti dei dispositivi Synology NAS, dove è riuscito a funzionare senza problemi.
  • La campagna malware era in corso da almeno tre mesi e molti dispositivi NAS sono stati infettati e lasciati inutilizzabili a causa del miner di Bitcoin che utilizzava quasi tutte le risorse di CPU e memoria.

Incidenti recenti 

  • Recentemente, un malware denominato VPNFilter ha infettato centinaia di reti, tra cui QNAP, TP-Link e Ubiquiti.
  • Il mese scorso, il team di sicurezza di QNAP ha  rilasciato aggiornamenti per correggere varie vulnerabilità critiche nei dispositivi NAS.
See also

Conclusioni

Negli ultimi due mesi, i dispositivi QNAP sono stati costantemente attaccati da ransomware che sfruttano vulnerabilità prive di patch. Pertanto, gli esperti suggeriscono di aggiornare QTS alla versione più recente, utilizzando un firewall e password di amministratore complesse, disabilitando i servizi SSH / Telnet se non in uso ed evitare di utilizzare i numeri di porta predefiniti.

Dario Fadda
IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.
Related
Previous
Grindr, l’app di incontri gay, sarà multata con 10 milioni di euro per violazioni del GDPR
Next
Nuovo malware Android che si diffonde tramite WhatsApp

News cybersecurity, malware, ransomware, and data security

Contacts

For any information/reporting, editorial, you may contact us by all the social channels listed and via e-mail to: info@spcnet.it

Secure channel for Whistlerblowers