Passa al contenuto principale
Save My Disk
ransomware-securityINFO

Ransomware su NAS Synology e QNAP: recupero e prevenzione 2026

Attacchi DeadBolt QNAP, eCh0raix su Synology, Qlocker: recupero da snapshot Hyper Backup, configurazione immutabile, isolamento, ripristino e hardening.

Di Eric Gerard · Éditeur · Save My Disk14 min di letturaPhoto via Unsplash

I dispositivi NAS Synology e QNAP consumer e di PMI figurano tra i bersagli più redditizi per i gruppi ransomware dal 2019. Formati compatti, grande capacità di archiviazione, configurazioni spesso predefinite e — soprattutto — esposizione diretta a Internet tramite UPnP o port forwarding per consentire l'accesso remoto da casa o dall'ufficio. L'esito è ben documentato: le campagne DeadBolt, eCh0raix e Qlocker hanno infettato un gran numero di dispositivi, con una marcata accelerazione tra il 2022 e il 2026.

Questa guida spiega come funzionano questi attacchi, come reagire nei minuti successivi a un'infezione, come ripristinare dagli snapshot integrati (Synology BTRFS, QNAP ZFS) e come rafforzare un NAS perché smetta di essere un bersaglio facile.

Perché i dispositivi NAS consumer sono massicciamente presi di mira

Tre fattori sono convergiti dal 2019:

  1. Esposizione diretta a Internet. Lo schema d'uso tipico di un NAS familiare o di PMI è attivare l'accesso remoto per foto o documenti dall'esterno della rete domestica. L'UPnP del router apre automaticamente le porte 5000/5001 (Synology DSM) o 8080/8443 (QNAP QTS) senza alcun passaggio manuale. Gli operatori ransomware scansionano continuamente queste porte — una scansione IPv4 completa richiede meno di 30 minuti con un cluster Masscan.
  2. Vulnerabilità applicative ricorrenti. Photo Station, Hybrid Backup Sync, Container Station, Surveillance Station e i pacchetti di terze parti introducono regolarmente CVE critiche. Molti utenti rinviano gli aggiornamenti automatici per timore di rompere una configurazione funzionante.
  3. Configurazioni predefinite deboli. Account admin predefinito attivo, password semplice, 2FA disattivata, SSH aperto, nessun blocco automatico degli IP — ancora la norma per la maggioranza dei NAS consumer installati prima del 2023.

Il risultato è una riserva di caccia industrializzata. I gruppi DeadBolt ed eCh0raix operano in modalità automatizzata: scansione, exploit, cifratura, riscatto — senza intervento umano tra la scansione e la cifratura.

DeadBolt: la campagna QNAP più violenta

DeadBolt è apparso nel gennaio 2022. Il suo marchio di fabbrica: il gruppo dirotta direttamente la schermata di login QTS sul NAS per mostrare la nota di riscatto — l'utente non può più accedere al proprio NAS, e l'interfaccia che vede è quella degli aggressori.

Vettore di infezione: sfruttamento della CVE-2022-27593 (vulnerabilità di riferimento a file esterni in Photo Station che consente l'esecuzione di codice remoto). Una variante ha sfruttato anche una falla nel QNAP QTS stesso.

Meccanismo: cifratura AES-256 dei file utente, aggiunta dell'estensione .deadbolt, eliminazione selettiva degli snapshot accessibili dall'interfaccia. Il binario non tocca il firmware QTS stesso.

Richiesta: 0,03 BTC per NAS (circa 1.200 USD nel 2022, fino a 2.800 USD al picco Bitcoin del 2024). Procedura di escrow insolita: il pagamento viene inviato direttamente a un indirizzo Bitcoin mostrato nell'interfaccia QTS dirottata, e la chiave di decifratura viene restituita in seguito tramite una transazione Bitcoin contenente un OP_RETURN.

Impatto documentato: un gran numero di NAS QNAP sono stati infettati al picco di gennaio-marzo 2022, con altri dispositivi colpiti nell'ondata del settembre 2022 e ondate residue fino al 2023-2024. La polizia olandese è intervenuta nell'ottobre 2022 e ha sequestrato 155 chiavi DeadBolt simulando pagamenti e annullando poi le transazioni Bitcoin prima della conferma lato aggressore — rivelando una debolezza procedurale nel gruppo.

QNAP ha spinto un aggiornamento di sicurezza QTS forzato nel febbraio 2022 a tutti i dispositivi registrati. Qualsiasi NAS senza accesso a Internet o non registrato è rimasto vulnerabile.

eCh0raix / QNAPCrypt: il ceppo longevo di Synology e QNAP

eCh0raix (chiamato anche QNAPCrypt) è apparso nel 2019 e resta attivo nel 2026. A differenza di DeadBolt, eCh0raix prende di mira sia Synology sia QNAP e usa più vettori di infezione in parallelo.

Vettori:

  • Brute force SSH su account admin con password deboli.
  • Brute force dell'interfaccia web (DSM, QTS) con dizionari.
  • Sfruttamento di CVE applicative (HBS3 su QNAP, Photo Station, versioni DSM più vecchie).
  • Phishing mirato agli amministratori con malware che rilascia una chiave SSH.

Meccanismo: cifratura AES tramite la libreria crypto di Go, aggiunta dell'estensione .encrypt, rilascio di README_FOR_DECRYPT.txt o README_HOW_TO_DECRYPT.txt in ogni cartella colpita. I file sotto il kilobyte e i file di sistema vengono saltati.

Richiesta: variabile per ceppo, tra 0,024 e 0,06 BTC. I pagamenti transitano attraverso l'infrastruttura Tor.

Peculiarità tecnica: il gruppo ha a lungo riutilizzato un'unica chiave master su più vittime, il che ha permesso a Emsisoft di pubblicare un decryptor gratuito nel 2019 per le prime varianti. Le versioni da metà 2020 in poi usano chiavi generate univocamente — non esiste alcun decryptor gratuito per i ceppi moderni.

Qlocker: l'attacco lampo dell'aprile 2021

Qlocker è arrivato nell'aprile 2021 ed è diventato famoso per la sua brutale semplicità. Il ransomware non aveva alcun meccanismo di cifratura proprietario: usava semplicemente 7-Zip (il binario 7z installato di default su QNAP) per archiviare i file utente in archivi .7z protetti da password.

Vettore: sfruttamento della CVE-2021-28799 in Hybrid Backup Sync (HBS3), che consente l'accesso amministratore non autenticato.

Meccanismo: uno script eseguiva 7z a -p<password> -mx1 archive.7z files/ per ogni cartella utente, eliminava gli originali e rilasciava !!!READ_ME.txt. Molto veloce (livello di compressione 1), molto efficace, completamente reversibile se la password può essere recuperata.

Richiesta: 0,01 BTC per NAS (~500 USD nell'aprile 2021). La velocità di esecuzione e il riscatto modesto hanno spinto molte vittime a pagare — Emsisoft ha documentato centinaia di pagamenti nell'arco di una settimana.

Debolezza del gruppo: la campagna è stata di breve durata — una falla ha permesso brevemente ad alcune vittime di recuperare la password senza pagare, e gli operatori hanno chiuso il loro sito Tor circa una settimana dopo l'inizio.

Varianti Cl0p Synology e campagne 2023-2025

Tra il 2023 e il 2025, diverse campagne hanno preso di mira specificamente i dispositivi Synology DSM esposti:

  • Cl0p Synology (variante Linux del ransomware Cl0p): targeting di Synology DSM tramite servizi SMB esposti nel Q4 2023.
  • Cheers / Cheerscrypt: adattamenti Linux/QNAP di ceppi originariamente rivolti a VMware ESXi.
  • Repliche eCh0raix: campagne periodiche nel 2024-2025 che sfruttavano la CVE-2023-39296 su DSM 7.2.

Il filo conduttore: ogni campagna sfruttava o una CVE applicativa non patchata o un account admin debolmente protetto. Nessuna campagna ha sfruttato uno zero-day sul kernel DSM o QTS stesso — le difese si vincono quasi sempre a livello di configurazione e pacchetti esposti.

CVE chiave da monitorare

Unità di archiviazione montate in un rack
Unità di archiviazione montate in un rack

Le seguenti CVE sono state attivamente sfruttate nelle recenti campagne ransomware su NAS:

  • CVE-2024-32962: QNAP QTS e QuTS hero, escalation di privilegi tramite una falla nel modulo di gestione delle condivisioni di rete. Patchata a maggio 2024.
  • CVE-2023-39296: Synology DSM 7.2, bypass dell'autenticazione tramite una falla nel componente Web Station. Patchata a settembre 2023.
  • CVE-2022-27593: QNAP Photo Station, esecuzione di codice remoto tramite file referenziato esterno (RCE non autenticata). Vettore primario della prima ondata DeadBolt.
  • CVE-2021-28799: QNAP Hybrid Backup Sync (HBS3), autenticazione difettosa che consente l'accesso admin senza credenziali. Vettore primario di Qlocker.

Se gestisci un NAS che non ha ricevuto le patch associate, considera l'apparecchio compromesso o pre-compromesso.

Confronto delle tre famiglie principali

FamigliaVettore di infezioneMeccanismoRichiestaStato decryptor 2026
DeadBoltCVE-2022-27593 QNAP Photo Station, CVE QTSCifratura AES-256, estensione .deadbolt, interfaccia QTS dirottata0,03 BTCParziale: 155 chiavi sequestrate dalla polizia olandese distribuite tramite No More Ransom
eCh0raix / QNAPCryptBrute force SSH, CVE HBS3, exploit DSMCifratura AES via crypto Go, estensione .encrypt, nota README_FOR_DECRYPT.txtda 0,024 a 0,06 BTCDecryptor Emsisoft solo per i ceppi 2019-metà 2020
QlockerCVE-2021-28799 QNAP HBS3Archiviazione 7-Zip con password, estensione .7z0,01 BTCNessun decryptor ufficiale, recupero possibile tramite password trapelate del server Tor

Procedura di emergenza: i primi 30 minuti

Passo 1 — Taglia Internet senza toccare il NAS

Accedi al router Internet. Disattiva:

  • Tutte le regole di port forwarding che puntano all'IP locale del NAS.
  • L'UPnP automatico.
  • Le regole di esposizione DMZ, se presenti.

La cifratura attiva si ferma perché la maggior parte dei ceppi moderni comunica con un server C2 per recuperare o memorizzare le chiavi. Non togliere l'alimentazione al NAS: la RAM può contenere ancora chiavi di cifratura in chiaro, recuperabili da un analista forense con un'immagine della memoria.

Passo 2 — Accesso SSH locale per la diagnosi

Da un PC sulla LAN (mai da Internet), apri un terminale:

# Connessione al NAS sulla rete locale
ssh admin@192.168.1.100

# Elenca i volumi per identificare l'estensione del ransomware
ls -la /volume1/
ls -la /share/

# Conta quanti file sono cifrati (adatta l'estensione)
find /volume1 -name "*.deadbolt" | wc -l
find /volume1 -name "*.encrypt" | wc -l
find /volume1 -name "*.7z" -newer /etc/hostname | wc -l

# Leggi la nota di riscatto
find /volume1 -name "README_FOR_DECRYPT*" -exec cat {} \;
find /volume1 -name "!!!READ_ME*" -exec cat {} \;

# Elenca i processi sospetti in esecuzione
ps -ef | grep -iE "encrypt|7z|deadbolt"

# Verifica gli snapshot esistenti (QNAP QuTS hero)
zfs list -t snapshot

# Verifica gli snapshot Synology (BTRFS)
sudo btrfs subvolume list /volume1

L'obiettivo non è riparare ma documentare: identificare l'estensione, la famiglia, lo schema di cifratura, l'ampiezza (quanti file, quante condivisioni colpite).

Passo 3 — Identificazione precisa via ID Ransomware

Scarica un file cifrato (di piccole dimensioni) e la nota di riscatto su un PC pulito. Carica entrambi su ID Ransomware — lo strumento di MalwareHunterTeam copre ogni ceppo NAS noto. La nostra guida a ID Ransomware descrive la procedura nel dettaglio.

Un'identificazione precisa ti dice se esiste un decryptor gratuito (DeadBolt con le 155 chiavi sequestrate, ceppi eCh0raix più vecchi).

Passo 4 — Verifica lo stato degli snapshot

Su Synology DSM:

  1. DSM → Snapshot Replication → scheda Snapshots.
  2. Elenca gli snapshot esistenti per condivisione.
  3. Identifica lo snapshot più recente datato prima della comparsa dei file cifrati.

Su QNAP QTS / QuTS hero:

  1. QTS → Storage & SnapshotsSnapshot Manager.
  2. Elenca gli snapshot per volume.
  3. Su QuTS hero (ZFS), gli snapshot generalmente resistono a un aggressore che non possiede il ruolo dedicato.

Se esistono snapshot puliti, la via di recupero è chiara. Altrimenti, vedi la sezione DFIR più sotto.

Ripristino basato su snapshot

Synology Snapshot Replication (BTRFS)

Gli snapshot Synology si basano sul copy-on-write BTRFS e sono disattivati di default sui volumi EXT4. Verifica prima il formato del tuo volume:

  • DSM → Storage Manager → scheda Volume → formato visualizzato.
  • Se EXT4: gli snapshot non sono disponibili. Vedi la sezione Hyper Backup.
  • Se BTRFS: gli snapshot possono essere attivati e sono probabilmente già presenti se hai seguito le raccomandazioni Synology.

Procedura di ripristino:

  1. DSM → Snapshot Replication → scheda Recovery.
  2. Seleziona la condivisione colpita.
  3. Seleziona lo snapshot datato prima dell'attacco.
  4. Scegli Restore → conferma.

Il ripristino avviene a livello di condivisione. Prima del ripristino viene creato un punto di rollback, rendendo l'operazione non distruttiva.

Per rendere gli snapshot resistenti a un aggressore che possiede l'admin DSM:

  • Attiva la modalità immutabile / di sola lettura sugli snapshot (DSM 7.2+).
  • Configura una ritenzione lunga (minimo 30 giorni) con pianificazione automatica.
  • Limita quali account admin possono manipolare gli snapshot.

Snapshot QNAP (ZFS su QuTS hero, EXT4 su QTS)

Su QuTS hero, il file system ZFS fornisce snapshot robusti per costruzione:

  1. QTS → Storage & SnapshotsSnapshot Manager.
  2. Seleziona il volume.
  3. Elenco snapshot → clic destro sullo snapshot precedente all'attacco → Revert.

Su QTS classico con EXT4, gli snapshot sono gestiti da un modulo dedicato e sono meno robusti degli snapshot ZFS. La procedura di ripristino è simile ma l'isolamento contro un aggressore a livello admin è più debole.

Configura Block-Based Snapshot con minimo 30 giorni di ritenzione e attiva la replica degli snapshot verso un secondo NAS o un cloud immutabile tramite HBS3.

Hyper Backup Synology e HBS3 QNAP: il livello sopra gli snapshot

Gli snapshot restano locali. Per la difesa in profondità, aggiungi un backup off-site con versioning:

Synology Hyper Backup:

  • Backup verso Synology C2, Backblaze B2, Wasabi, Amazon S3, OneDrive, Google Drive.
  • Cifratura AES-256 lato client.
  • Versioning configurabile (fino a 256 versioni).
  • Modalità immutabile disponibile su C2 e B2 tramite Object Lock — un aggressore che controlla DSM non può eliminare le versioni bloccate.

QNAP HBS3 (Hybrid Backup Sync):

  • Stesse destinazioni.
  • Nota: è il pacchetto che contiene la CVE di Qlocker (CVE-2021-28799). Tienilo rigorosamente aggiornato.
  • Configurazione immutabile supportata sulle destinazioni compatibili S3.

Per una PMI, combinare snapshot locale + Hyper Backup o HBS3 verso cloud immutabile + una copia fredda su un disco esterno rotante costituisce una solida strategia 3-2-1.

Scelta editoriale
4.5 / 5

Strategia 3-2-1 con EaseUS Todo Backup

Fondata nel 2004Garanzia di 30 giorniVersione gratuita da 2 GB
Vedi l'offerta

Cosa fare senza snapshot o backup

Il caso più difficile: un NAS su EXT4 senza snapshot e senza Hyper Backup. Due vie rimanenti.

Recupero forense da immagine disco

Rimuovi i dischi dal NAS e collegali a un PC Linux o Windows:

  • DiskInternals Linux Reader (Windows) legge i volumi Synology EXT4 e BTRFS in modalità di sola lettura.
  • R-Studio NAS riconosce le configurazioni Synology Hybrid RAID (SHR) e i volumi QNAP.
  • EaseUS Data Recovery monta le immagini e scansiona per firma: può recuperare frammenti non cifrati di file (il ransomware spesso scrive il file cifrato in un nuovo inode e marca il precedente come libero — il contenuto precedente resta leggibile finché non viene sovrascritto).

Il metodo completo è descritto nella nostra guida al recupero post-ransomware.

Decryptor gratuiti

Se il ceppo è DeadBolt, prova prima le 155 chiavi sequestrate dalla polizia olandese e ridistribuite tramite No More Ransom. Per i ceppi eCh0raix del 2019-metà 2020, lo strumento Emsisoft è gratuito. Per i ceppi moderni, al momento della stesura non esiste alcun decryptor pubblico.

Hardening post-incidente

Una volta ripristinato il NAS, non rimetterlo mai su Internet nella stessa configurazione. Lista minima di hardening:

  1. Disattiva UPnP sul router Internet e sul NAS.
  2. Nessun port forwarding diretto verso il NAS. Se serve accesso remoto: VPN (WireGuard, OpenVPN o il server VPN integrato in DSM / QNAP QVPN).
  3. Reverse proxy con allowlist di IP se l'esposizione è strettamente necessaria per un servizio aziendale.
  4. 2FA obbligatoria su tutti gli account admin (TOTP minimo, idealmente chiavi FIDO2 supportate da DSM 7.2+ e QuTS hero).
  5. Disattiva l'account admin predefinito, crea un account admin personale con un nome diverso.
  6. Blocco automatico degli IP dopo 3 tentativi falliti su interfaccia web e SSH.
  7. SSH disattivato di default, oppure autenticazione solo a chiave (nessuna password).
  8. Auto-aggiornamento DSM / QTS attivo, pacchetti esposti (Photo Station, HBS3, Container Station) tenuti rigorosamente aggiornati.
  9. Snapshot immutabili con minimo 30 giorni di ritenzione.
  10. Backup esterno 3-2-1: 3 copie dei dati, su 2 supporti diversi, con 1 off-site e immutabile. Per un NAS familiare: snapshot locale + Hyper Backup verso C2 o Backblaze B2 + disco esterno rotante.

Il dettaglio decisivo: smetti di esporre il NAS

La lezione ripetuta di ogni campagna ransomware su NAS dal 2019 è la stessa: i dispositivi NAS non direttamente esposti a Internet non sono stati colpiti. Nessun caso documentato di infezione eCh0raix, DeadBolt o Qlocker su un NAS raggiungibile solo tramite VPN.

Se gestisci un NAS familiare o di PMI e l'accesso remoto è un'esigenza reale, investi 30 minuti per configurare una VPN — WireGuard è banale, funziona sugli smartphone e fornisce una protezione radicale. Il compromesso ergonomico (avviare un'app VPN prima di accedere ai file) è trascurabile rispetto allo scenario di una cifratura completa di un NAS familiare con 8 TB di foto.

Per un approfondimento sulla strategia di difesa dal ransomware in ambienti aziendali, consulta la nostra guida protezione ransomware per le aziende 2026 e il benchmark miglior software anti-ransomware 2026. Se sospetti una compromissione attiva ma non sai come procedere, inizia con il nostro strumento di diagnosi per definire i passi successivi.

Risorse ufficiali

Scelta editoriale
4.5 / 5

Back up now so ransomware can't win → EaseUS Todo Backup

Automatic backups · disk clone · offline copy

Fondata nel 2004Garanzia di 30 giorniVersione gratuita da 2 GB
Vedi l'offerta
Articoli correlati

Da leggere dopo