Attenzione a Qlocker! Il ransomware che attacca i NAS QNAP e usa 7-zip per bloccare i file

Attenzione a Qlocker! Il ransomware che attacca i NAS QNAP e usa 7-zip per bloccare i file

Da qualche giorno è attiva una campagna ransomware che prende di mira i dispositivi QNAP e sfrutta 7-zip per creare archivi di file protetti da password

di pubblicata il , alle 10:31 nel canale Sicurezza
Qnap
 

Dallo scorso 19 aprile si sta verificando una campagna di infezione ransomware che prende di mira i dispositivi NAS QNAP in tutto il mondo. Il ransomware, conosciuto con il nome di Qlocker, ha la particolarità di sfruttare 7zip per rendere inacessibili i dati, comprimendoli all'interno di un archivio protetto da password.

Gli utenti dei dispositivi che vengono colpiti da questo attacco vedranno numerosi archivi con estensione .7z, tutti protetti da una password nota solo agli autori della campagna di infezione. Dopo che il contenuto del NAS viene reso inaccessibile, gli utenti si ritrovano con una richiesta di riscatto che include una chiave client univoca che le vittime devono inserire per poter accedere tramite Tor al sito per il pagamento del riscatto.

Riscatto di 0,01 Bitcoin per sbloccare i dati

Viene richiesto un pagamento di 0,01 Bitcoin che al cambio attuale (invero piuttosto variabile) è di circa 500 dollari. Se il riscatto viene pagato correttamente, il sito a cui la vittima si è collegata per effettuare il pagamento mostrerà la chiave per poter accedere a tutti i suoi archivi 7Zip. La password è univoca per ciascuna vittima e non può essere usata per sbloccare altri archivi.

E' interessante notare che fino al 22 aprile sul sito di Qlocker era presente un bug, ora purtroppo risolto, che poteva consentire alla vittima di recuperare gratuitamente la password per lo sblocco degli archivi compressi. Il bug, scoperto da un ricercatore di sicurezza, è stato sfruttato per aiutare alcune vittime a recuperare le password ed è stato inoltre comunicato a Emsisoft per cercare di creare un sistema di recupero. Purtroppo però la finestra temporale di intervento è stata chiusa con la risoluzione del bug.

Quanto alle modalità di infezione è bene osservare che di recente QNAP si è occupata di risolvere alcune vulnerabilità critiche che potevano consentire l'accesso remoto non autorizzato ai suoi dispositivi. E' quindi probabile che si tratti di uno sfruttamento attivo di queste vulnerabilità in dispositivi che ancora non sono stati aggiornati con le opportune patch correttive. In particolare pare che la vulnerabilità sfruttata da Qlocker possa essere quella classificata con codice CVE-2020-36195.

QNAP è a conoscenza del problema e ha diramato una nota nei giorni scorsi, nella quale comunica:

"QNAP ha rilasciato una versione aggiornata di Malware Remover per sistemi operativi come QTS e QuTS hero per affrontare l'attacco ransomware. Se i dati dell'utente sono crittografati o vengono crittografati, il NAS non deve essere spento. Gli utenti devono eseguire immediatamente una scansione del malware con l'ultima versione di Malware Remover, quindi contattare il supporto tecnico QNAP su https://service.qnap.com/"

Non è chiaro se il Malware Remover possa consentire di ripristinare l'accesso ai dati, o se semplicemente aggiorna il NAS con le patch di sicurezza e rimuove il malware presente. In ogni caso vale la pena contattare il supporto tecnico QNAP per avere tutta l'assistenza possibile nel malaugurato caso ci si dovesse trovare vittima di Qlocker.

20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cfranco24 Aprile 2021, 12:49 #1
Tutto questo è possibile solo grazie alle criptovalute
wobbly24 Aprile 2021, 13:23 #2
Sì, purtroppo è indirettamente colpa delle cripto valute che oltre alla pazzia del mining (ossia il consumo di energia elettrica e conseguente inquindamento) ha permesso ai malviventi di incassare denaro senza farsi rintracciare in maniera facile.
Ad ogni modo nel caso specifico il problema si pone per chi ha esposto su Internet il proprio NAS Qnap non aggiornato.
radeon_snorky24 Aprile 2021, 16:42 #3
Originariamente inviato da: wobbly
Sì, purtroppo è indirettamente colpa delle cripto valute che oltre alla pazzia del mining (ossia il consumo di energia elettrica e conseguente inquindamento) ha permesso ai malviventi di incassare denaro senza farsi rintracciare in maniera facile.
Ad ogni modo nel caso specifico il problema si pone per chi ha esposto su Internet il proprio NAS Qnap non aggiornato.

in ufficio dove collaboro hanno un Qnap... inutile dire che se lo sono preso! "fortuna" che ero via e che tutti i dati di cui ho bisogno al momento sono ancora nella memoria degli strumenti che uso per topografia... certo che è una bella sfiga! ho anche detto al mio collega, che si è interfacciato con il loro "sistemista"..... gli ho detto: "ma se la persona che deve mantenere l'efficienza della rete interna, che ti ha consigliato un inutile firewall, che ti ha fatto comprare il qnap e che ti ha fatto tenere un server http acceso 2 anni senza configurarti correttamente il sito web.... se non è in grado di configurarti il nas per gli aggiornamenti.... che ci sta a fare!?!?!?!?!!?!"

speriamo che riescano a trovare velocemente una chiave per poter generare autonomamente la password...

certo che 400 e rotti euro non sono molti.... ma che palle!
baruk24 Aprile 2021, 17:13 #4
Quattro QNAP in ufficio. Tre sotto controllo mio e uno di un mio collega. Inutile dire che io aggiorno costantemente il firmware e le app e lui no. Comunque credo che sia o una questione di dare l'accesso via l'ssh (cosa che disabilito di default) o usare la app per un CMS. A noi un anno fa (e siamo protetti da tecnici e strumentazioni CNR-IIT), ci arrivó un comunicato della Polizia Postale che segnalava attacchi (riusciti) su vecchi NAS LaCie, che venivano usati poi per il mining minimo.
Axios200624 Aprile 2021, 17:20 #5
Originariamente inviato da: Cfranco
Tutto questo è possibile solo grazie alle criptovalute


Originariamente inviato da: wobbly
Sì, purtroppo è indirettamente colpa delle cripto valute che oltre alla pazzia del mining (ossia il consumo di energia elettrica e conseguente inquindamento) ha permesso ai malviventi di incassare denaro senza farsi rintracciare in maniera facile.
Ad ogni modo nel caso specifico il problema si pone per chi ha esposto su Internet il proprio NAS Qnap non aggiornato.


Eh... purtroppo chi difende le criptovalute non vuole accettare che i ransomware sono nati grazie alle criptovalute...

Poi il pozzo senza fondo di elettricita', gpu ed hardware in generale per fuffa ad elevata volatilita' che se si perde l'accesso al wallet...
TecnoPC25 Aprile 2021, 09:01 #6
Non capisco questa ossessione connettere tutto alla rete internet.
Da noi il Qnap è accessibile solo via LAN dell’ufficio, per tutto il resto c’è il cloud.
baruk25 Aprile 2021, 10:37 #7
Originariamente inviato da: TecnoPC
Non capisco questa ossessione connettere tutto alla rete internet.
Da noi il Qnap è accessibile solo via LAN dell’ufficio, per tutto il resto c’è il cloud.


Problema di smart working. Da noi le amministrative sono al 70% a lavorare in remoto, e quindi hanno bisogno di accedere da casa.
canislupus25 Aprile 2021, 11:10 #8
Originariamente inviato da: baruk
Problema di smart working. Da noi le amministrative sono al 70% a lavorare in remoto, e quindi hanno bisogno di accedere da casa.


Mettere su una vpn e accedere in locale al qnap è tanto brutto?
sminatore25 Aprile 2021, 19:39 #9
Nessun sostenitore delle cripto nega che questo genere di attacchi sia nato proprio con le valute digitali, ma condannare una tecnologia perché può essere sfruttata anche per scopi malevoli... Bah.
Basterebbe condannare i metodi di riciclaggio cripto, ma capisco che chi ha poca conoscenza dell argomento preferisce farla semplice rimuovendo il problema in toto; mio nonno ha la stessa opinione di Internet.
Per essere coerenti però condannate qualsiasi altra tecnologia e tornate pure all epoca pre rinascimentale
baruk25 Aprile 2021, 21:03 #10
Originariamente inviato da: canislupus
Mettere su una vpn e accedere in locale al qnap è tanto brutto?


Non gestiamo noi la parte di networking e in questo periodo ci sono dei ritardi e altri problemi. Posso assicurare che il problema sia l'abilitazione o meno dell'SSH, perchè per ognuno dei QNAP conto almeno 10000 tentativi di accesso di questo tipo, ovviamente senza successo, ricorrendo ai nomi più fantasiosi. Ormai un paio di loro sono già due anni che girano senza problemi di sorta. Devo dire anche che la casa madre è puntale e veloce a rilasciare i firmware aggiornati e le app.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^