lunedì 17 gennaio 2022
NAS QNAP - il ransomware Qlocker torna a colpire (anche in Italia) e non è l'unico: cosa è utile sapere, cosa serve fare
Ormai torniamo sul punto a cadenza quasi regolare: il ransomware Qlocker torna a colpire dispositivi NAS QNAP in tutto il mondo. La diffusione dei NAS QNAP va quasi di pari passo, ormai, con le campagne dannose che li vedono come target. Puntualmente, ad ogni ondata malware contro NAS QNAP riceviamo centinaia di richieste di assistenza per la decriptazione dei file e, altrettanto puntualmente, scopriamo che il punto di accesso degli attaccanti o è dovuto a credenziali deboli oppure è una vulnerabilità già corretta.
Sperando quindi di fare cosa utile, oltre ad una breve panoramica di Qlocker e dei principali malware in diffusione contro i NAS QNAP, ribadiamo nuovamente le misure di mitigazione e di patching.
QLocker: nuova ondata in tutto il mondo
Qlocker non si vedeva in diffusione dal 2021, almeno non in forma massiva: in quel caso il ransomware non eseguiva propriamente una routine di criptazione sui file. Si limitava invece a spostarli entro archivi 7Zip protetti da password, per ottenere la quale era ovviamente richiesto il pagamento di un riscatto in criptovalute. Per l'occasione QNAP pubblicò uno specifico alert, spiegando che gli attaccanti stavano sfruttando la vulnerabilità CVE-2021-28799 presente nell'app HBS 3 Hybrid Backup Sync.
L'alert arrivò però in ritardo: la campagna di Aprile fruttò agli attaccanti 350.000 dollari in meno di 20 giorni.
Per approfondire > Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani
Per approfondire > Qlocker: aggiornamenti sul ransomware che sta assediando i NAS QNAP
Dalla prima settimana di Gennaio abbiamo ricevuto molte richieste di assistenza: Qlocker è di nuovo in diffusione con una nuova campagna. Questa è iniziata il 6 Gennaio ed è contraddistinta da una nota di riscatto chiamata !!!READ_ME.txt e dall'uso dannoso e illegittimo di 7ZIP.
Il riscatto oscilla tra 0.02 e 0.03 Bitcoin (la campagna di Aprile ne chiedeva soltanto 0.01) ed il suo ammontare è visibile nella nuova landing page Tor allestita dagli attaccanti.
Qlocker in buona compagnia: a Dicembre è tornato anche eChoraix/QNAPcrypt
Le disgrazie non vengono mai da sole, dice saggiamente il detto popolare. Infatti questa nuova campagna Qlocker è stata anticipata di pochi giorni da una nuova campagna ransomware, anche questa conoscenza di vecchia data. Nei giorni tra il 19 e il 26 Dicembre si è svolta una campagna ransomware volta a distribuire il ransomware eChoraix, conosciuto anche come QNAPcrypt.
Per approfondire > NAS QNAP: il ransomware eChoraix (QNAPcrypt) di nuovo in diffusione. Già molti attacchi in Italia
La nuova campagna di eChoraix non ha portato grandi novità rispetto alle precedenti: l'attaccante che ha ottenuto privilegi di amministrazione, crea nel gruppo di amministrazione un nuovo utente con tutte le permissioni necessarie per procedere alla criptazione dei file presenti sul NAS. In questo caso, al contrario di Qlocker, i file non sono rinchiusi in un archivio 7ZIP, ma criptati nel senso classico.
Dopo un primo smarrimento iniziale, QNAP e i ricercatori di sicurezza individuano le falle sfruttate:
CVE-2021-28799, che risiede in Hybrid Backup Sync HBS3. Al link le indicazioni di risoluzione;
CVE-2020-36198 che risiede nella funzionalità Malware Remover.
Agelocker, il ransomware che ruba i dati
Sempre ad Aprile 2021 iniziano a piovere segnalazioni di attacchi del ransomware AgeLocker contro NAS QNAP. Anche in questo caso si parla di una vecchia conoscenza, già osservato in attività dal Luglio 2020. Non che sia una novità nel mondo dei ransomware, ma lo è nel sottoinsieme dei malware del riscatto pensati per i NAS QNAP: Agelocker, come va ormai "di moda" prima di procedere alla criptazione dei file e renderli inaccessibili, si occupa di rubarli. Il riscatto ammonta a circa 7 Bitcoin.
La criptazione dei file vede impiegato un algoritmo poco noto, AGE (Actually Good Encryption), dal quale deriva il nome del malware stesso. Le analisi svolte hanno mostrato come AgeLocker affligga principalmente NAS QNAP che:
eseguono versioni obsolete del firmware;
hanno abilitati il port forwarding, il DMZ e dispongono di IP pubblico. Queste impostazioni determinano una esposizione diretta del NAS in Internet.
Per approfondire > Il ransomware AgeLocker cripta i NAS QNAP...ma prima ruba i dati
Versioni ransomware risolvibili
eChoraix: è risolvibile la versione circolante fino al 17 Luglio 2019, mentre ancora non è risolvibile la versione 1.0.5. La versione in circolazione a Dicembre 2021, la 1.0.6 NON E' RISOLVIBILE attualmente. Qui l'advisory ufficiale di QNAP.
Qlocker: consigliamo di seguire il tutorial "Installazione manuale di QRescue per recuperare file crittati da Qlocker" su NAS QNAP dal sito ufficiale del produttore.
Qui il Security Advisory di QNAP
AgeLocker: AgeLocker è un ransomware che difficilmente sarà risolvibile. L'uso dell'algoritmo AGE lo rende un avversario assai tosto: è, questo algoritmo, uno dei metodi più sicuri (per l'attaccante) di "chiudere" i file. Qui il Security Advisory di QNAP .
Misure generali di mitigazione
Data la situazione è consigliabile seguire le indicazioni di mitigazione che QNAP ha fornito in occasione dell'ondata di attacchi ad opera del ransomware QNAPCrypt, per assicurarsi di eseguire la versione più recente del firmware e di aver risolto alcune vulnerabilità note.
Fai il login come Amministratore;
vai nel Pannello di Controllo > Sistema > Update del Firmware.
sotto Live Update, fai clic su Cerca per Update.
Verrà così ricercato e installato l'update più recente disponibile. La stessa operazione può essere compiuta anche da Supporto > Download Center, eseguendo quindi un update manuale.
QNAP suggerisce anche di aggiornare tutte le app installate:
Fai il login come Amministratore;
vai su App Center > le Mie App;
spunta l'opzione "All" prima di cliccare su Installa Update;
clicca su OK nel messaggio di conferma che vedrai comparire per aggiornate tutte le app installate alla relativa ultima versione.
Il tasto Update non sarà disponibile se è già in uso la versione più recente. Se invece è disponibile, il clic sul bottone avvierà il download e installazione dell'update: a fine processo dovrebbe mostrarsi un messaggio di conferma.
Infine, QNAP consiglia anche le seguenti operazioni:
cambia le password di tutti gli account attivi sul dispositivo;
elimina ogni account utente sconosciuto dal dispositivo;
elimina tutte le applicazioni sconosciute o inutilizzate dal dispositivo;
imposta una lista di controllo per gli accessi al dispositivo (Pannello di Controllo > Sicurezza > Livello di Sicurezza).
Tutte le informazioni del produttore qui > Quali sono le migliori prassi per migliorare la sicurezza del NAS?
Se ti serve supporto...
coloro che hanno bisogno di supporto per applicare gli aggiornamenti e implementare le misure di mitigazione o, vittime di criptazione, hanno necessità di verificare la fattibilità della decriptazione della versione che li ha colpiti possono contattarci tramite il sito web decryptolocker.it o scrivendoci all'indirizzo alessandro@nwkcloud.com