Преступление и наказание: как эксперты QNAP отразили кибератаку и отключили хакерам C2-сервер

QNAP , тайваньский производитель сетевого оборудования, недавно успешно противостоял кибератаке , нацеленной на сетевые хранилища данных ( NAS ) со слабыми паролями, находящиеся в открытом доступе в Интернете.

Вечером 14 октября компания обнаружила шквал атак и, при поддержке облачного провайдера DigitalOcean , вывела из строя сервер управления и контроля ( C2-сервер ) злоумышленников, управляющий ботнетом из сотен заражённых систем.

Команда по реагированию на инциденты безопасности продуктов QNAP (QNAP PSIRT) заблокировала сотни «зомби-сетей» за 7 часов с помощью фирменного софта QuFirewall , обеспечивая защиту многих устройств QNAP NAS от дальнейших атак.

«В течение 48 часов мы также успешно определили источник C2-сервера и, совместно с облачным провайдером DigitalOcean, приняли меры по его блокировке», — сообщила компания.

Представители QNAP высоко оценили свои действия. По их словам, это не только помогло пользователям QNAP NAS избежать ущерба, но и защитило пользователей других сетевых хранилищ от этой волны атак.

Несмотря на то, что атака была успешно отражена, злоумышленники редко сидят сложа руки, поэтому в QNAP призвали клиентов самостоятельно усилить защиту своих устройств: изменить стандартные порты доступа, деактивировать переадресацию портов на роутерах и UPnP на NAS, применить безопасные политики паролей и отключить учётную запись администратора на конечных точках.

Киберпреступники часто нацеливаются на NAS-устройства с целью похищения или шифрования ценных документов. Недавние атаки на устройства QNAP включали в себя кампании с использованием вымогательских программ DeadBolt , Checkmate и eCh0raix . А в 2021 году компания Synology, предупредила общественность о том, что их устройства стали целью для ботнета StealthWorker.