Wereldwijd zijn zo'n 62.000 Qnap NAS-systemen besmet met de Qsnatch-malware die allerlei gegevens van gebruikers kan stelen, zo stellen het Britse National Cyber Security Centre (NCSC) en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een nieuwe waarschuwing.

De eerste versie van de malware werd waarschijnlijk van begin 2014 tot halverwege 2017 verspreid, gevolgd door een tweede campagne van eind 2018 tot eind 2019. Hoe de malware precies wordt verspreid is nog altijd onbekend. Eenmaal actief wijzigt Qsnatch cronjobs en scripts. Vervolgens wordt het automatisch updaten van de NAS door het overschrijven van de update-sources voorkomen en blokkeert de malware de MalwareRemover van QNAP. Dit is een tool waarmee NAS-gebruikers malware van het apparaat kunnen verwijderen.

Verder verzamelt de malware alle gebruikersnamen en wachtwoorden van de NAS en stuurt die naar de aanvallers. Daarnaast wordt er een ssh-backdoor en een webshell toegevoegd waarmee de aanvallers op afstand kunnen inloggen. De infrastructuur waarvan de aanvallers in beide aanvalscampagnes gebruikmaakten is op dit moment niet actief, maar de dreiging blijft voor ongepatchte systemen bestaan, aldus de waarschuwing van het CISA en NCSC.

Doordat het niet mogelijk is om besmette NAS-systemen te updaten adviseren de overheidsinstanties in het geval van verouderde firmware om een volledige fabrieksreset uit te voeren. Daarna kan de nieuwste firmwareversie worden geïnstalleerd. Het advies geldt ook NAS-systemen die eerder met Qsnatch waren besmet, maar waar de malware van is verwijderd. Volgens cijfers van het CISA en NCSC zijn er wereldwijd 62.000 systemen besmet. Bijna de helft daarvan bevindt zich in West-Europa.