Sicurezza

Attacco ransomware Qlocker per crittografare i nas QNAP

È in corso una massiccia campagna di ransomware rivolta ai dispositivi QNAP in tutto il mondo e gli utenti stanno trovando i loro file ora archiviati in archivi 7zip protetti da password.

Il ransomware si chiama Qlocker e ha iniziato a prendere di mira i dispositivi QNAP il 19 aprile 2021. Da allora, c’è stata un’enorme quantità di attività nel nostro forum di supporto e ID-Ransomware ha visto un’ondata di richieste da parte delle vittime.

Secondo i rapporti delle vittime gli aggressori utilizzano 7-zip per spostare i file sui dispositivi QNAP in archivi protetti da password. Mentre i file vengono bloccati, QNAP Resource Monitor visualizzerà numerosi processi “7z” che sono gli eseguibili della riga di comando 7zip.

Al termine del ransomware, i file del dispositivo QNAP verranno archiviati in archivi 7-zip protetti da password che terminano con l’   estensione .7z . Per estrarre questi archivi, le vittime dovranno inserire una password nota solo all’aggressore.

Dopo che i dispositivi QNAP sono stati crittografati, agli utenti viene lasciata una richiesta di riscatto !!! READ_ME.txt che include una chiave client univoca che le vittime devono inserire per accedere al sito di pagamento Tor del ransomware.

 Dalle note di riscatto Qlocker viste da BleepingComputer, a tutte le vittime viene detto di pagare 0,01 Bitcoin, che è circa $ 557,74, per ottenere una password per i loro file archiviati. 

Dopo aver pagato il riscatto e inserito un ID di transazione Bitcoin valido, il sito di pagamento Tor visualizzerà la password per gli archivi 7Zip della vittima, come mostrato di seguito.

Questa password è unica per la vittima e non può essere utilizzata sui dispositivi di altre vittime.

Aggiornamento 22/04/21 09:15: Il ricercatore di sicurezza  Jack Cable  ha scoperto un bug nel sito di Qlocker Tor che permetteva agli utenti di recuperare gratuitamente le loro password 7zip.

Usando questo bug, le vittime potevano prendere un ID di transazione Bitcoin da una persona che aveva già pagato e modificarlo leggermente. Quando hanno inviato l’ID della transazione modificato al sito Qlocker Tor, lo ha accettato come pagamento e ha visualizzato la password 7zip della vittima.

La scorsa notte, Cable aveva aiutato privatamente le persone a recuperare le proprie password e si stavano prendendo accordi con Emsisoft per creare un sistema di aiuto per sfruttare meglio questa debolezza.

Purtroppo, un’ora dopo aver appreso del bug, gli operatori di ransomware lo hanno scoperto e lo hanno risolto.

qlocket twitter

A questo punto non c’è modo di recuperare i file senza password, che non possono più essere recuperati gratuitamente.

QNAP ritiene che gli aggressori stiano sfruttando le vulnerabilità

Recentemente QNAP ha risolto vulnerabilità critiche che potevano consentire a un attore remoto di ottenere l’accesso completo a un dispositivo ed eseguire ransomware.

QNAP ha risolto queste due vulnerabilità il 16 aprile con le seguenti descrizioni:

Ulteriori informazioni su queste vulnerabilità possono essere trovate in un post sul blog del team di ricerca SAM Seamless Network che ha divulgato i bug a QNAP.

QNAP ha dichiarato a BleepingComputer di ritenere che Qlocker sfrutti la vulnerabilità CVE-2020-36195 per eseguire il ransomware su dispositivi vulnerabili.

Per questo motivo, si consiglia vivamente di aggiornare QTS, Multimedia Console e Media Streaming Add-on alle versioni più recenti.

“QNAP raccomanda vivamente a tutti gli utenti di installare immediatamente l’ultima versione di Malware Remover ed eseguire una scansione antimalware su QNAP NAS. Anche le app Console multimediale, Media Streaming Add-on e Hybrid Backup Sync devono essere aggiornate all’ultima versione disponibile per proteggere ulteriormente il QNAP NAS dagli attacchi ransomware. QNAP sta lavorando urgentemente a una soluzione per rimuovere il malware dai dispositivi infetti “, ha affermato QNAP in un avviso di sicurezza .

QNAP avverte che se i file di un dispositivo sono già stati crittografati, non devono riavviare il dispositivo e invece eseguire immediatamente lo scanner di malware.

“Se i dati dell’utente sono crittografati o vengono crittografati, il NAS non deve essere spento. Gli utenti devono eseguire immediatamente una scansione del malware con l’ultima versione di Malware Remover, quindi contattare il supporto tecnico QNAP su  https://service.qnap.com/ , “consiglia QNAP.

Sebbene lo scanner di malware e gli aggiornamenti di sicurezza non ripristinino i tuoi file, ti proteggeranno da attacchi futuri che utilizzano questa vulnerabilità.

Qlocker IOC:

File associati:

!!!READ_ME.txt

!!! All your files have been encrypted !!!

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

To purchase your key and decrypt your files, please follow these steps:

  1. Dowload the Tor Browser at “https://www.torproject.org/”. If you need help, please Google for “access onion page”.
  2. Visit the following pages with the Tor Browser:
  3. Enter your Client Key:

[client_key]

Fonte: Bleepingcomputer