È in corso una massiccia campagna di ransomware rivolta ai dispositivi QNAP in tutto il mondo e gli utenti stanno trovando i loro file ora archiviati in archivi 7zip protetti da password.
Il ransomware si chiama Qlocker e ha iniziato a prendere di mira i dispositivi QNAP il 19 aprile 2021.
Secondo i rapporti delle vittime gli aggressori utilizzano 7-zip per spostare i file sui dispositivi QNAP in archivi protetti da password. Mentre i file vengono bloccati, QNAP Resource Monitor visualizzerà numerosi processi “7z” che sono gli eseguibili della riga di comando 7zip.
Al termine del ransomware, i file del dispositivo QNAP verranno archiviati in archivi 7-zip protetti da password che terminano con l’ estensione .7z . Per estrarre questi archivi, le vittime dovranno inserire una password nota solo all’aggressore.
Dopo che i dispositivi QNAP sono stati crittografati, agli utenti viene lasciata una richiesta di riscatto !!! READ_ME.txt che include una chiave client univoca che le vittime devono inserire per accedere al sito di pagamento Tor del ransomware.
Dalle note di riscatto Qlocker viste da BleepingComputer, a tutte le vittime viene detto di pagare 0,01 Bitcoin, che è circa $ 557,74, per ottenere una password per i loro file archiviati.
Dopo aver pagato il riscatto e inserito un ID di transazione Bitcoin valido, il sito di pagamento Tor visualizzerà la password per gli archivi 7Zip della vittima, come mostrato di seguito.
Questa password è unica per la vittima e non può essere utilizzata sui dispositivi di altre vittime.
QNAP ritiene che gli aggressori stiano sfruttando le vulnerabilità
Recentemente QNAP ha risolto vulnerabilità critiche che potevano consentire a un attore remoto di ottenere l’accesso completo a un dispositivo ed eseguire ransomware.
QNAP ha risolto queste due vulnerabilità il 16 aprile con le seguenti descrizioni:
- CVE-2020-2509: vulnerabilità di iniezione di comandi in QTS e QuTS hero
- CVE-2020-36195: vulnerabilità di SQL Injection nella console multimediale e nel componente aggiuntivo di streaming multimediale
Ulteriori informazioni su queste vulnerabilità possono essere trovate in un post sul blog del team di ricerca SAM Seamless Network che ha divulgato i bug a QNAP.
QNAP ha dichiarato a BleepingComputer di ritenere che Qlocker sfrutti la vulnerabilità CVE-2020-36195 per eseguire il ransomware su dispositivi vulnerabili.
Per questo motivo, si consiglia vivamente di aggiornare QTS, Multimedia Console e Media Streaming Add-on alle versioni più recenti.
“QNAP raccomanda vivamente a tutti gli utenti di installare immediatamente l’ultima versione di Malware Remover ed eseguire una scansione antimalware su QNAP NAS. Anche le app Console multimediale, Media Streaming Add-on e Hybrid Backup Sync devono essere aggiornate all’ultima versione disponibile per proteggere ulteriormente il QNAP NAS dagli attacchi ransomware. QNAP sta lavorando urgentemente a una soluzione per rimuovere il malware dai dispositivi infetti “, ha affermato QNAP in un avviso di sicurezza .
QNAP avverte che se i file di un dispositivo sono già stati crittografati, non devono riavviare il dispositivo e invece eseguire immediatamente lo scanner di malware.
“Se i dati dell’utente sono crittografati o vengono crittografati, il NAS non deve essere spento. Gli utenti devono eseguire immediatamente una scansione del malware con l’ultima versione di Malware Remover, quindi contattare il supporto tecnico QNAP su https://service.qnap.com/ , “consiglia QNAP.
Sebbene lo scanner di malware e gli aggiornamenti di sicurezza non ripristinino i tuoi file, ti proteggeranno da attacchi futuri che utilizzano questa vulnerabilità.