NAS-fabrikant QNAP heeft gebruikers opgeroepen om de laatste versie van de Malware Remover-app te installeren. Aanleiding zijn cijfers van de Amerikaanse overheid waaruit blijkt dat er in juni 62.000 NAS-systemen wereldwijd met de QSnatch-malware besmet bleken.

De helft van de besmette apparaten werd in West-Europa aangetroffen. Eenmaal actief wijzigt QSnatch cronjobs en scripts. Vervolgens wordt het automatisch updaten van de NAS door het overschrijven van de update-sources voorkomen en blokkeert de malware de MalwareRemover van QNAP. Dit is een tool waarmee NAS-gebruikers malware van het apparaat kunnen verwijderen.

Verder verzamelt de malware alle gebruikersnamen en wachtwoorden van de NAS en stuurt die naar de aanvallers. Daarnaast wordt er een ssh-backdoor en een webshell toegevoegd waarmee de aanvallers op afstand kunnen inloggen. De infrastructuur waarvan de aanvallers in beide aanvalscampagnes gebruikmaakten is op dit moment niet actief, maar de dreiging blijft voor ongepatchte systemen bestaan, aldus de waarschuwing van het CISA, die hierbij samenwerkte met het Britse National Cyber Security Centre (NCSC).

In een reactie stelt QNAP dat het vorig jaar november een nieuwe versie van de Malware Remover-app heeft uitgebracht die de QSnatch-malware kan verwijderen. Gebruikers worden opgeroepen om die versie te installeren. Dit kan via het QTS App Center en de QNAP-website. Daarnaast geeft QNAP aanvullende adviezen, zoals het wijzigen van wachtwoorden, het niet gebruiken van standaard poortnummers en het uitschakelen van ssh en Telnet.