Duizenden QNAP’s geïnfecteerd met QSnatch-malware

In de afgelopen week zijn duizenden NAS-systemen van het merk QNAP getroffen door QSnatch-malware. Alleen al in Duitsland zijn meer dan 7000 apparaten geïnfecteerd volgens het Duitse Computer Emergency Response Team (CERT-bund).

Het is nog onduidelijk hoe het virus zich verspreid. Het Finse National Cybersecurity center (NCSC) heeft een rapport geschreven waarin enkele details over de werking van deze malware staan.
Analyses van de malware code laten tot op heden de volgende mogelijkheden van het virus zien:

  • Aanpassen van taken en scripts van het besturingssysteem (cronjob, init scripts)
  • Voorkomen van firmware updates
  • Blokkeren van de interne QNAP MalwareRemover App.
  • Extraheren en stelen van gebruikersnamen en wachtwoorden van alle NAS gebruikers.

Het doel van het virus is nog niet duidelijk. Het is mogelijk dat de makers een botnet opbouwen en dat ze in de toekomst nieuwe modules verspreiden.

Momenteel is een reset naar de fabrieksinstellingen de enige manier om het virus te verwijderen. Hierbij wordt alle data gewist. ZDnet schrijft dat sommige gebruikers melden dat het installeren van een QNAP NAS firmware update van februari 2019 het probleem ook oplost. Maar nog het NCSC-FI, nog QNAP zelf bevestigd tot op heden deze oplossing. Het is niet duidelijk of QSnatch door deze methode wordt gewist of dat toekomstige infecties hierdoor worden voorkomen.

Totdat er meer duidelijkheid is word QNAP gebruikers aangeraden het stappenplan van QNAP zelf te volgen.