Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

venerdì 23 aprile 2021
Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

Non c’è pace per i NAS Qnap: sono in corso proprio in questi giorni ben due ondate di attacchi ransomware contro questi dispositivi. Ondate contemporanee che stanno facendo registrare migliaia di vittime, che da un giorno all’altro si trovano impossibilitati ad accedere ai file salvati sui loro storage.

Da una parte c’è una vecchia conoscenza, ovvero l’ultima versione (che ricordiamo non è purtroppo risolvibile senza pagare il riscatto) di QNAPCrypt: nulla di nuovo da segnalare, se non che sono evidentemente ancora moltissimi i NAS QNAP i cui proprietari non hanno adottato né le mitigazioni già da tempo consigliate da QNAP né le patch di sicurezza.

La novità però è il nuovo ransomware Qlocker, che viene diffuso con una campagna così massiva da aver messo in immediato allarme l’intera comunità di cybersecurity. Lawarence Abrams, della redazione di Bleeping Computer, ha condiviso i dati degli utenti che hanno segnalato questa infezione al servizio ID-ransomware solo il 21 Aprile si sono registrate 353 vittime: numero di segnalazioni che è andato di pari passo, fa sapere Abrams, al picco di attività nel forum di supporto di Bleeping dove, da due giorni, la fila degli utenti che richiede aiuto per tornare in possesso dei propri file aumenta continuamente (e non possiamo non registrare negativamente il numero di utenti che dichiara di non aver approntato alcun meccanismo di backup o di averlo implementato in locale proprio sul NAS).

Fonte: IDransomware

Qlocker ha avviato la campagna di diffusione il 19 di Aprile e sta a tutt’ora continuando a mietere vittime, anche se ancora non è chiaro come riesca ad accedere ai NAS QNAP: quel che è sicuro è come funziona, ad ora. Le vittime semplicemente trovano tutti i file presenti sul proprio dispositivo QNAP spostati in un archivio 7-zip protetto da password. Mentre i file vengono chiusi, il QNAP Resource Monitor mostra numerosissimi processi 7z attivi

Fonte: BleepingComputer

Una volta che Qlocker ha finito questo processo, i file presenti sul Qnap vengono chiusi in un archivio 7zip con estensione .7z. Per estrarre i file le vittime dovranno inserire una password che è, ovviamente, conosciuta soltanto dagli attaccanti.

Fonte: BleepingComputer
La nota di riscatto si chiama !!!READ_ME.txt e contiene, oltre a una serie di istruzioni, la chiave unica che la vittima deve inserire per poter accedere al sito di pagamento del ransomware su Tor.

Il riscatto per ricevere la password con la quale accedere all’archivio ammonta per tutte le vittime a 0.01 Bitcoin, che sono circa 557 dollari. Una volta pagato, le vittim visualizzeranno la password, come si vede nella foto sotto (You decrypt password is….)

Fonte: BleepingComputer

Bug trovato, bug corretto
Nella notte tra il 21 e il 22 Aprile si è aperto uno spiraglio di speranza per gli utenti. Il ricercatore Jack Cable ha scoperto un bug sul sito Tor di Qlocker che consentiva agli utenti di recuperare la propria password gratuitamente. Bastava infatti disporre dell’ID della transazione Bitcoin di una persona che aveva già pagato e modificarlo leggermente: il sito Tor di Qlocker accettava questi ID modificati, confermando un pagamento inesistente e visualizzando la password 7zip della vittima. Qualche centinaio di utenti è riuscito così a liberare i propri file.

Peccato che gli attaccanti si sono accorti del problema e già poche ore dopo hanno corretto il bug.

Mitigazioni e patch
QNAP sta cercando da tempo di correre ai ripari viste le frequenti ondate di attacchi: QnapCrypt, QSnatch, Unityminer, AgeLocker ecc…

Anzitutto, il 16 Aprile ha patchato due vulnerabilità, sfruttate in attacchi reali:

CVE-2020-2509: Command Injection Vulnerability in QTS and QuTS hero
CVE-2020-36195: SQL Injection Vulnerability in Multimedia Console and the Media Streaming Add-On
Il sospetto è che Qlocker sfrutti la vulnerabilità CVE-2020-3619 per eseguire il ransonmware sui dispositivi vulnerabili, che non presentano appunto le patch.

Questo è il motivo per il quale è FORTEMENTE CONSIGLIATO aggiornare prima possibile QTS, Multimedia Console e media Streaming alle ultime e più recenti versioni, che contengono le correzioni necessarie.

Nell’alert di sicurezza che QNAP ha pubblicato su Qlocker si dice che:
“QNAP raccomanda fortemente a tutti gli utenti l’installazione immediata della versione più recente di Malware Remover e eseguire immediatamente una scansione malware sui NAS QNAP: Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync necessitano di aggiornamento immediato all’ultima versione disponibile per aggiungere ulteriori protezioni contro gli attacchi ransomware. QNAP sta lavorando ad una soluzione per rimuovere questo malwate dai dispositivi infetti” .

In caso di attacco, proseguono, cioè se i file sono già stati criptati è fondamentale non riavvviare il dispositivo e eseguire, invece, immediatamene lo scanner malware, quindi contattare il Supporto Tecnico QNAP su https://service.qnap.com/. Sottolineamo che lo scanner malware e gli aggiornamenti di sicurezza non aiuteranno a recuperare i file, ma proteggeranno i dispositivi NAS da attacchi futuri. Queste mitigazioni infatti proteggono anche da attacchi di altri ransomware come QnapCrypt.

Una possibile soluzione?
E’ in corso di verifica una soluzione proposta da alcuni ricercatori di sicurezza indipendenti. La soluzione è illustrata in questo video, ma non possiamo garantire l’effettiva efficacia per tutti gli utenti, dato che alcuni stanno lamentando l’impossibilità a rintracciare il file 7z.log

NB: riportiamo questa possibilità di risoluzione per mera completezza di informazione, non potendo garantire il risultato finale. Aggiorneremo immediatamente questa news in caso vengano individuate di soluzioni di sicura efficacia.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy