In corso attacco Qlocker ransomware ai NAS Qnap. Cripta tutti i tuoi dati.

Qlocker ransomware , dalle prime notizie che giungono dalla rete, sembra che sia in atto in tutto il mondo, una massiva campagna di attacco hacker che ha come bersaglio i NAS QNAP.

Dalle prime ore del 19 aprile 2021, in rete si sono moltiplicate le segnalazioni di utenti, possessori di NAS Qnap che lamentano l’impossibilità di accedere ai propri dati.

Il ransomware in questione è stato nominato QLoker proprio per il fatto che bersaglia solo ed esclusivamente questa tipologia di NAS.

Una volta infettato il NAS inizia a cifrare tutti i dati presenti sui dischi utilizzando l’utility 7-zip. Questa utility integrata nei NAS QNAP solitamente viene utilizzata per la normale creazione di cartelle compresse, ma tramite la console ssh è possibile richiamare il processo da riga di comando e utilizzare una chiave di cifratura per la cartella o il file che successivamente va inserita per riaprirne il contenuto.

Dalle prime analisi risulta che in questa fase il QNAP esegue numerosi processi 7z visibili dalla pagina di amministrazione del NAS sul menu Risorse di sistema.

Di seguito la schermata che appare nel momento in cui si cerca di aprire uno dei file crittografati.

Come di consueto per questo genere di infezioni viene lasciato all’utente un file !!!READ_ME.txt con le indicazioni su come pagare il riscatto. Qlocker ransomware

Nel momento in cui stiamo scrivendo il riscatto ammonta a 0.01 Bitcoins equivalente a circa 472.36 EURO. Sconsigliamo chiunque dal pagare il riscatto. Qlocker ransomware

Ricordiamo che qualora il NAS QNAP contenesse dati sensibili ed il soggetto interessato sia soggetto alle normative europee sul trattamento dei dati (GDPR), l’infezione di per se configura una violazione nonché un Databreach e quindi va come tale trattata come da indicazioni del Garante. leggi anche questo articolo

Update 23 apr. 2021 – 9:41

Stando alle informazioni reperibili in rete e ai comunicati susseguitisi nella giornata di ieri 22 aprile da parte di Qnap, si ritiene che il ransomware abbia sfruttato delle vulnerabilità già corrette dalla casa produttrice di NAS con il rilascio del firmware datato 16 aprile.

Se ne deduce quindi che i soli NAS che al momento risultano vulnerabili sono i QNAP non aggiornati all’ultima versione del firmware che è la 4.5.2.1630.

Consigliamo quindi a tutti di applicare gli aggiornamenti firmware il prima possibile e di aggiornare inoltre dall’App Center presente sul QNAP le appplicazioni Multimedia Console, Media Streaming Add-On e HBS 3 Hybrid Backup Sync.

Questo non vi ridarà indietro i vostri dati nel caso foste stati colpiti, ma almeno renderà il vostro QNAP non più vulnerabile a questo tipo di attacco.

ATTUALI SOLUZIONI:
Al momento QNAP non ha rilasciato nessuna informazione su eventuali tool per il recupero dei dati.

Dalle analisi effettuate dagli esperti di sicurezza che possiamo confermare, si è scoperto che ad oggi se il processo di criptazione è ancora attivo sembra essere possibile tramite collegamento shell acquisire dei file su cui il ransomware temporaneamente salva la password di cifratura e tramite quella password decriptare i file stessi.

Qualora il NAS fosse nel frattempo spento e/o riavviato oppure il processo di criptazione venisse interrotto o terminato il file con all’interno la password di criptazione viene eliminato rendendo cosi inutile qualsiasi tentativo di recupero dei dati.

Quindi, se vi siete accorti dell’infezione chiamate subito dei tecnici specializzati per una consulenza su come agire. Non prendete iniziative che possono peggiorare la situazione.

Update 23 apr. 2021 – 12:45 Qlocker ransomware

QNAP ha rilasciato un aggiornamento per l’applicazione Malware Remover che ora è in grado di individuare ed intercettare il ransomware e bloccarne l’esecuzione. Ancora nessuna dichiarazione su eventuali tool di decriptazione e/o recupero dei dati compromessi.

leggete anche questo articolo

Update 26 apr. 2021 – 9:30 Qlocker ransomware

Qnap qualche giorno fa ha risolto una vulnerabilità critica che consente ad attaccanti remoti di loggare nei NAS QNAP usando credenziali “hardcoded”. E’ confermato che una parte dei NAS QNAP attaccati da Qlocker presentavano questa falla.

La vulnerabilità in oggetto è la CVE-2021-28799, che è in realtà, già stata risolta nelle seguenti versioni:

QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 e successivi
QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 e successivi
QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 e successivi
QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 e successivi
E’ quindi estremamente consigliato l’aggiornamento di HBS3 (Hybrid Backup Sync) alla versione più recente, il prima possibile.

I miei dati sono stati criptati, COSA POSSO FARE E COSA NON DEVO FARE

Partiamo dalla cosa più semplice: COSA NON FARE.

In caso di infezione stando a quanto si apprende dai ricercatori in materia di sicurezza e dagli stessi operatori di QNAP, l’unica cosa da NON fare è SPEGNERE e/o RIAVVIARE il dispositivo.

Attualmente qualora sia stato spento o riavviato il dispositivo NON vi è alcuna speranza di recuperare i dati criptati.

Ora la parte meno semplice: COSA FARE.

Per prima cosa si consiglia di disabilitare immediatamente myQNAPcloud e cambiare la porta web admin di default dalla porta 8080 a qualsiasi altra porta.

A questo punto gli attaccanti non dovrebbero più avere accesso al dispositivo da remoto: il prossimo passo è terminate qualsiasi processo 7z attivo per interrompere qualsiasi comando di criptazione ancora in esecuzione. Questa operazione è possibile loggando nel dispositivo QNAP via SSH o Telnet.

Eseguire il seguente comando in console per terminare tutti i processi 7z

kill -9 ps |grep sbin/7z|grep -v grep|awk '{ print $1 }'

Aggiornare tutte le applicazioni del NAS, in particolar modo HBS3 e Malware Remover. Eseguire subito una scansione con l’utility QNAP anti Malware in modo che possa individuare e rimuovere la minaccia. A questo punto dovreste essere verosimilmente immuni da ulteriori attacchi.

Gli utenti che hanno utilizzato il Malware Remover Tool di QNAP troveranno il file 7z.log in /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log

Tramite questo file potrebbe essere possibile recuperare i vostri dati.

Aggiornamento Gennaio 2022

Sono ancora in corso numerose campagne di attacchi verso QNAP, tant’è che la casa produttrice è ricorsa anche alle maniere forti, costringendo i dispositivi ad aggiornare il firmware senza l’intervento dell’utente.

Se hai bisogno di aiuto, possiamo fornirtelo. Vuoi aggiornare il tuo QNAP? Vuoi un controllo per sapere se sei al sicuro? Clicca qui sotto! Il nostro servizio CHIAMAMI è operativo!