QNAP alerta para risco de ataque do ransomware Checkmate

Alerta na quinta-feira mostra novo ransomware usado para atingir clientes por meio de serviços SMB (Server Message Block) com acesso pela Internet
Da Redação
10/07/2022

Um novo ransomware conhecido como Checkmate foi detectado recentemente atacando dispositivos NAS (network attached storage) fabricados pela empresa taiwanesa QNAP. Num alerta publicado na última quinta-feira, a QNAP informou ter iniciado uma investigação e descoberto que o Checkmate ataca por meio de serviços SMB expostos à Internet, utilizando um ataque de dicionário para quebrar contas com senhas fracas.

Assim que o invasor faz login com sucesso em um dispositivo, ele criptografa os dados em pastas compartilhadas e deixa em cada pasta uma nota de resgate cujo nome de arquivo é !CHECKMATE_DECRYPTION_README. Vários usuários da QNAP publicaram mensagens num fórum do potal BleepingComputer informando que foram atacados pelo Checkmate em Junho e receberam uma nota de resgate exigindo US$ 15.000 em bitcoin.

Nota de resgate do Checkmate (clique para ampliar)

Veja isso
Sistema NAS da QNAP é alvo de variante de ransomware DeadBolt
Malware ataca armazenamento de rede da QNAP e da Synology

No alerta publicado, a QNAP fez seis recomedações para os usuários que tiverem o serviço SMB do NAS exposto à Internet:

  1. Não expor o serviço SMB à Internet
  2. Reduzir a exposição do serviço NAS à Internet usando uma VPN
  3. Desativar o SMB 1
  4. Atualizar o sistema operacional QNAP para a versão mais recente
  5. Revisr todas as contas NAS imediatamente para garantir que todas as senhas sejam suficientemente fortes
  6. Fazer backup dos dados e criar instantâneos regularmente

Em Fevereiro de 2022, a QNAP já havia emitido um alerta aos clientes para que atualizem seus sistemas para a versão de software mais recente e os reconfigurem para impedir outra campanha de ransomware. A empresa emitiu o comunicado em resposta à crescente ameaça de uma nova variante conhecida como “DeadBolt”. Estima-se que na época cerca de 3.600 dispositivos foram afetados pelo ransomware, de um parque total de 130 mil globalmente. Além de exigir das vítimas que paguem por uma chave de descriptografia, a gangue que opera o ransomware também está tentando vender todos os detalhes da suposta vulnerabilidade de dia zero à QNAP por cinco bitcoins

Compartilhar: