Attenzione a Qlocker! Il ransomware che attacca i NAS QNAP e usa 7-zip per bloccare i file
Da qualche giorno è attiva una campagna ransomware che prende di mira i dispositivi QNAP e sfrutta 7-zip per creare archivi di file protetti da password
di Andrea Bai pubblicata il 24 Aprile 2021, alle 10:31 nel canale SicurezzaQnap
Dallo scorso 19 aprile si sta verificando una campagna di infezione ransomware che prende di mira i dispositivi NAS QNAP in tutto il mondo. Il ransomware, conosciuto con il nome di Qlocker, ha la particolarità di sfruttare 7zip per rendere inacessibili i dati, comprimendoli all'interno di un archivio protetto da password.
Gli utenti dei dispositivi che vengono colpiti da questo attacco vedranno numerosi archivi con estensione .7z, tutti protetti da una password nota solo agli autori della campagna di infezione. Dopo che il contenuto del NAS viene reso inaccessibile, gli utenti si ritrovano con una richiesta di riscatto che include una chiave client univoca che le vittime devono inserire per poter accedere tramite Tor al sito per il pagamento del riscatto.
Riscatto di 0,01 Bitcoin per sbloccare i dati
Viene richiesto un pagamento di 0,01 Bitcoin che al cambio attuale (invero piuttosto variabile) è di circa 500 dollari. Se il riscatto viene pagato correttamente, il sito a cui la vittima si è collegata per effettuare il pagamento mostrerà la chiave per poter accedere a tutti i suoi archivi 7Zip. La password è univoca per ciascuna vittima e non può essere usata per sbloccare altri archivi.
— Jack Cable (@jackhcable) April 22, 2021
E' interessante notare che fino al 22 aprile sul sito di Qlocker era presente un bug, ora purtroppo risolto, che poteva consentire alla vittima di recuperare gratuitamente la password per lo sblocco degli archivi compressi. Il bug, scoperto da un ricercatore di sicurezza, è stato sfruttato per aiutare alcune vittime a recuperare le password ed è stato inoltre comunicato a Emsisoft per cercare di creare un sistema di recupero. Purtroppo però la finestra temporale di intervento è stata chiusa con la risoluzione del bug.
Quanto alle modalità di infezione è bene osservare che di recente QNAP si è occupata di risolvere alcune vulnerabilità critiche che potevano consentire l'accesso remoto non autorizzato ai suoi dispositivi. E' quindi probabile che si tratti di uno sfruttamento attivo di queste vulnerabilità in dispositivi che ancora non sono stati aggiornati con le opportune patch correttive. In particolare pare che la vulnerabilità sfruttata da Qlocker possa essere quella classificata con codice CVE-2020-36195.
QNAP è a conoscenza del problema e ha diramato una nota nei giorni scorsi, nella quale comunica:
"QNAP ha rilasciato una versione aggiornata di Malware Remover per sistemi operativi come QTS e QuTS hero per affrontare l'attacco ransomware. Se i dati dell'utente sono crittografati o vengono crittografati, il NAS non deve essere spento. Gli utenti devono eseguire immediatamente una scansione del malware con l'ultima versione di Malware Remover, quindi contattare il supporto tecnico QNAP su https://service.qnap.com/"
Non è chiaro se il Malware Remover possa consentire di ripristinare l'accesso ai dati, o se semplicemente aggiorna il NAS con le patch di sicurezza e rimuove il malware presente. In ogni caso vale la pena contattare il supporto tecnico QNAP per avere tutta l'assistenza possibile nel malaugurato caso ci si dovesse trovare vittima di Qlocker.
20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoAd ogni modo nel caso specifico il problema si pone per chi ha esposto su Internet il proprio NAS Qnap non aggiornato.
Ad ogni modo nel caso specifico il problema si pone per chi ha esposto su Internet il proprio NAS Qnap non aggiornato.
in ufficio dove collaboro hanno un Qnap... inutile dire che se lo sono preso! "fortuna" che ero via e che tutti i dati di cui ho bisogno al momento sono ancora nella memoria degli strumenti che uso per topografia... certo che è una bella sfiga! ho anche detto al mio collega, che si è interfacciato con il loro "sistemista"..... gli ho detto: "ma se la persona che deve mantenere l'efficienza della rete interna, che ti ha consigliato un inutile firewall, che ti ha fatto comprare il qnap e che ti ha fatto tenere un server http acceso 2 anni senza configurarti correttamente il sito web.... se non è in grado di configurarti il nas per gli aggiornamenti.... che ci sta a fare!?!?!?!?!!?!"
speriamo che riescano a trovare velocemente una chiave per poter generare autonomamente la password...
certo che 400 e rotti euro non sono molti.... ma che palle!
Ad ogni modo nel caso specifico il problema si pone per chi ha esposto su Internet il proprio NAS Qnap non aggiornato.
Eh... purtroppo chi difende le criptovalute non vuole accettare che i ransomware sono nati grazie alle criptovalute...
Poi il pozzo senza fondo di elettricita', gpu ed hardware in generale per fuffa ad elevata volatilita' che se si perde l'accesso al wallet...
Da noi il Qnap è accessibile solo via LAN dell’ufficio, per tutto il resto c’è il cloud.
Da noi il Qnap è accessibile solo via LAN dell’ufficio, per tutto il resto c’è il cloud.
Problema di smart working. Da noi le amministrative sono al 70% a lavorare in remoto, e quindi hanno bisogno di accedere da casa.
Mettere su una vpn e accedere in locale al qnap è tanto brutto?
Basterebbe condannare i metodi di riciclaggio cripto, ma capisco che chi ha poca conoscenza dell argomento preferisce farla semplice rimuovendo il problema in toto; mio nonno ha la stessa opinione di Internet.
Per essere coerenti però condannate qualsiasi altra tecnologia e tornate pure all epoca pre rinascimentale
Non gestiamo noi la parte di networking e in questo periodo ci sono dei ritardi e altri problemi. Posso assicurare che il problema sia l'abilitazione o meno dell'SSH, perchè per ognuno dei QNAP conto almeno 10000 tentativi di accesso di questo tipo, ovviamente senza successo, ricorrendo ai nomi più fantasiosi. Ormai un paio di loro sono già due anni che girano senza problemi di sorta. Devo dire anche che la casa madre è puntale e veloce a rilasciare i firmware aggiornati e le app.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".