Ransomware Qlocker: QNAP conferma l'uso di HBS come backdoor, ma Qlocker ha già chiuso i battenti

giovedì 27 maggio 2021
Ransomware Qlocker: QNAP conferma l'uso di HBS come backdoor, ma Qlocker ha già chiuso i battenti

QNAP ha sollecitato gli utenti ad aggiornare l'app di disaster recovery Hybrid Backup Sync - HBS3 per impedire al ransomware Qlocker di colpite i propri NAS QNAP esposti su Internet.

"Il ransomware conosciuto come Qlocker sfrutta la vulnerabilità CVE-2021-28799 per attaccare i NAS QNAP che eseguono certe versioni di HBS3" hanno fatto sapere con apposito avviso di sicurezza.

Insomma, per impedire a Qlocker di infettare il proprio NAS QNAP basta aggiornate HBS3 all'ultima versione disponibile.

La vulnerabilità CVE-2021-28799
E' una vulnerabilità che conduce ad autorizzazioni improprie sul dispositivo. Se correttamente sfruttata, agisce, nei fatti, come un account backdoor che consente all'attaccante di accedere a dispositivi che eseguono versioni obsolete di HBS3. Questa vulnerabilità è già stata risolta per le versioni HBS3:

QTS 4.5.2: HBS 3 v16.0.0415 e successivi;
QTS 4.3.6: HBS 3 v3.0.210412 e successivi;
QTS 4.3.3 and 4.3.4: HBS 3 v3.0.210411 e successivi;
QuTS hero h4.5.1: HBS 3 v16.0.0419 e successivi;
QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419 e successivi.
Versioni precedenti devono essere aggiornate. La falla invece non riguarda le versioni HBS2 e HBS 1.3.

Qlocker in breve:
Qlocker è un ransomware specializzato in attacchi contro NAS QNAP. E' stato diffuso con una massiva campagna che è iniziata a metà Aprile e che ha mietuto molte vittime anche in Italia. Il ransomware sostituisce i file presenti sul NAS con un archivio 7-zip protetto da password, per ottenere la quale viene richiesto un riscatto in criptovaluta. Inizialmente risolvibile a causa di alcuni bug (nel sistema di pagamento e per la presenza di un file di log contenente la password dell'archivio), è divenuto poi irrisolvibile senza il supporto degli attaccanti, che hanno proceduto in pochissime ore a risolvere tutti i bug. Ad ora, impedire l'infezione e disporre di copie di backup dei dati sono le uniche due maniere per evitare l'attacco e la perdita dei dati.

Per approfondire >
1. Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

2. Qlocker: aggiornamenti sul ransomware che sta assediando i NAS QNAP

Un avviso che arriva in ritardo
E' sempre da valutarsi positivamente la risoluzione di una vulnerabilità (fermo restando che poi occorre che gli utenti eseguano le patch o gli update, problema non da poco), ma sul caso specifico non si può non registrare l'eccessivo ritardo. Sicuramente questo pensano le centinaia di vittime di Qlocker che vedono arrivare avviso e patch con più di un mese di ritardo e con oltre 350.000 dollari già estorti. Inoltre tutti i siti di pagamento Tor afferenti a Qlocker non sono più accessibili, lasciando addirittura vittime disposte a pagare senza possibilità di pagare il riscatto. Qlocker ha chiuso i battenti alla velocità della luce, ma non è chiaro se possa aver subito un destino simile a quello di Darkside.

Ricordiamo comunque che contro i NAS Qnap rimangono attive due diverse campagne ransomware: Agelocker e QNAPCrypt.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy