Site icon BLOG GioTech

In corso attacco Qlocker ransomware ai NAS Qnap. Cripta tutti i tuoi dati.

&NewLine;<p>Qlocker ransomware &comma; dalle prime notizie che giungono dalla rete&comma; sembra che sia in atto in tutto il mondo&comma; una massiva campagna di attacco hacker che ha come bersaglio i NAS QNAP&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Dalle prime ore del 19 aprile 2021&comma; in rete si sono moltiplicate le segnalazioni di utenti&comma; possessori di NAS Qnap che lamentano l&&num;8217&semi;impossibilità di accedere ai propri dati&period; <&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Il ransomware in questione è stato nominato QLoker proprio per il fatto che bersaglia solo ed esclusivamente questa tipologia di NAS&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Una volta infettato il NAS inizia a cifrare tutti i dati presenti sui dischi utilizzando l&&num;8217&semi;utility 7-zip&period; Questa utility integrata nei NAS QNAP solitamente viene utilizzata per la normale creazione di cartelle compresse&comma; ma tramite la console ssh è possibile richiamare il processo da riga di comando e utilizzare una chiave di cifratura per la cartella o il file che successivamente va inserita per riaprirne il contenuto&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Dalle prime analisi risulta che in questa fase il QNAP esegue numerosi processi 7z visibili dalla pagina di amministrazione del NAS sul menu Risorse di sistema&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<figure class&equals;"wp-block-image size-large"><img src&equals;"https&colon;&sol;&sol;blog&period;giotech&period;net&sol;wp-content&sol;uploads&sol;2021&sol;04&sol;Schermata-2021-04-23-alle-11&period;01&period;28&period;png" alt&equals;"" class&equals;"wp-image-2776"&sol;><&sol;figure>&NewLine;&NewLine;&NewLine;&NewLine;<p>Di seguito la schermata che appare nel momento in cui si cerca di aprire uno dei file crittografati&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<figure class&equals;"wp-block-image size-large"><img src&equals;"https&colon;&sol;&sol;blog&period;giotech&period;net&sol;wp-content&sol;uploads&sol;2021&sol;04&sol;Schermata-2021-04-23-alle-12&period;31&period;18&period;png" alt&equals;"" class&equals;"wp-image-2778"&sol;><&sol;figure>&NewLine;&NewLine;&NewLine;&NewLine;<p>Come di consueto per questo genere di infezioni viene lasciato all&&num;8217&semi;utente un file &excl;&excl;&excl;READ&lowbar;ME&period;txt con le indicazioni su come pagare il riscatto&period; Qlocker ransomware<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<figure class&equals;"wp-block-image size-large"><img src&equals;"https&colon;&sol;&sol;blog&period;giotech&period;net&sol;wp-content&sol;uploads&sol;2021&sol;04&sol;Schermata-2021-04-23-alle-12&period;34&period;41&period;png" alt&equals;"" class&equals;"wp-image-2780"&sol;><&sol;figure>&NewLine;&NewLine;&NewLine;&NewLine;<p>Nel momento in cui stiamo scrivendo il riscatto ammonta a 0&period;01 Bitcoins equivalente a circa 472&period;36&nbsp&semi;EURO&period; Sconsigliamo chiunque dal pagare il riscatto&period; Qlocker ransomware<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Ricordiamo che qualora il NAS QNAP contenesse dati sensibili ed il soggetto interessato sia soggetto alle normative europee sul trattamento dei dati &lpar;GDPR&rpar;&comma; l&&num;8217&semi;infezione di per se configura una violazione nonché un Databreach e quindi va come tale trattata come da indicazioni del Garante&period; <a href&equals;"https&colon;&sol;&sol;blog&period;giotech&period;net&sol;attacco-virus&sol;">leggi anche questo articolo<&sol;a><&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<h3 class&equals;"wp-block-heading"><strong>Update 23 apr&period; 2021 &&num;8211&semi; 9&colon;41<&sol;strong><&sol;h3>&NewLine;&NewLine;&NewLine;&NewLine;<p>Stando alle informazioni reperibili in rete e ai comunicati susseguitisi nella giornata di ieri 22 aprile da parte di Qnap&comma; si ritiene che il ransomware abbia sfruttato delle vulnerabilità già corrette dalla casa produttrice di NAS con il rilascio del firmware datato 16 aprile&period; <&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Se ne deduce quindi che i soli NAS che al momento risultano vulnerabili sono i QNAP non aggiornati all&&num;8217&semi;ultima versione del firmware che è la 4&period;5&period;2&period;1630&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Consigliamo quindi a tutti di applicare gli aggiornamenti firmware il prima possibile e di aggiornare inoltre dall&&num;8217&semi;App Center presente sul QNAP le appplicazioni Multimedia Console&comma; Media Streaming Add-On e HBS 3 Hybrid Backup Sync&period; <&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Questo non vi ridarà indietro i vostri dati nel caso foste stati colpiti&comma; ma almeno renderà il vostro QNAP non più vulnerabile a questo tipo di attacco&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<h4 class&equals;"wp-block-heading"><strong>ATTUALI SOLUZIONI&colon;<&sol;strong><br>Al momento QNAP non ha rilasciato nessuna informazione su eventuali tool per il recupero dei dati&period; <&sol;h4>&NewLine;&NewLine;&NewLine;&NewLine;<p>Dalle analisi effettuate dagli esperti di sicurezza che possiamo confermare&comma; si è scoperto che ad oggi se il processo di criptazione è ancora attivo sembra essere possibile tramite collegamento shell acquisire dei file su cui il ransomware temporaneamente salva la password di cifratura e tramite quella password decriptare i file stessi&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Qualora il NAS fosse nel frattempo spento e&sol;o riavviato oppure il processo di criptazione venisse interrotto o terminato il file con all&&num;8217&semi;interno la password di criptazione viene eliminato rendendo cosi inutile qualsiasi tentativo di recupero dei dati&period; <&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Quindi&comma; se vi siete accorti dell&&num;8217&semi;infezione chiamate subito dei tecnici specializzati per una consulenza su come agire&period; Non prendete iniziative che possono peggiorare la situazione&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<h3 class&equals;"wp-block-heading"><strong>Update 23 apr&period; 2021 &&num;8211&semi; 12&colon;45<&sol;strong> Qlocker ransomware<&sol;h3>&NewLine;&NewLine;&NewLine;&NewLine;<p>QNAP ha rilasciato un aggiornamento per l&&num;8217&semi;applicazione Malware Remover che ora è in grado di individuare ed intercettare il ransomware e bloccarne l&&num;8217&semi;esecuzione&period; Ancora nessuna dichiarazione su eventuali tool di decriptazione e&sol;o recupero dei dati compromessi&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p><a href&equals;"https&colon;&sol;&sol;www&period;qnap&period;com&sol;it-it&sol;news&sol;2021&sol;risposta-agli-attacchi-ransomware-qlocker-intraprendere-azioni-per-proteggere-il-qnap-nas">leggete anche questo articolo <br><&sol;a><&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<h3 class&equals;"wp-block-heading"><strong>Update 26 apr&period; 2021 &&num;8211&semi; 9&colon;30<&sol;strong> Qlocker ransomware<&sol;h3>&NewLine;&NewLine;&NewLine;&NewLine;<p>Qnap qualche giorno fa ha risolto una vulnerabilità critica che consente ad attaccanti remoti di loggare nei NAS QNAP usando credenziali &&num;8220&semi;hardcoded&&num;8221&semi;&period; E&&num;8217&semi; confermato che una parte dei NAS QNAP attaccati da Qlocker presentavano questa falla&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>La vulnerabilità in oggetto è la CVE-2021-28799&comma; che è in realtà&comma; già stata risolta nelle seguenti versioni&colon;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>QTS 4&period;5&period;2&colon; HBS 3 Hybrid Backup Sync 16&period;0&period;0415 e successivi<br>QTS 4&period;3&period;6&colon; HBS 3 Hybrid Backup Sync 3&period;0&period;210412 e successivi<br>QuTS hero h4&period;5&period;1&colon; HBS 3 Hybrid Backup Sync 16&period;0&period;0419 e successivi<br>QuTScloud c4&period;5&period;1~c4&period;5&period;4&colon; HBS 3 Hybrid Backup Sync 16&period;0&period;0419 e successivi<br>E&&num;8217&semi; quindi estremamente consigliato l&&num;8217&semi;aggiornamento di HBS3 &lpar;Hybrid Backup Sync&rpar; alla versione più recente&comma; il prima possibile&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<h3 class&equals;"wp-block-heading">I miei dati sono stati criptati&comma; COSA POSSO FARE E <span class&equals;"has-inline-color has-vivid-red-color">COSA NON DEVO FARE<&sol;span><&sol;h3>&NewLine;&NewLine;&NewLine;&NewLine;<h4 class&equals;"wp-block-heading">Partiamo dalla cosa più semplice&colon; COSA NON FARE&period;<&sol;h4>&NewLine;&NewLine;&NewLine;&NewLine;<p><br>In caso di infezione stando a quanto si apprende dai ricercatori in materia di sicurezza e dagli stessi operatori di QNAP&comma; l&&num;8217&semi;unica cosa da NON fare è SPEGNERE e&sol;o RIAVVIARE il dispositivo&period; <&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Attualmente qualora sia stato spento o riavviato il dispositivo NON vi è alcuna speranza di recuperare i dati criptati&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<h4 class&equals;"wp-block-heading">Ora la parte meno semplice&colon; COSA FARE&period;<&sol;h4>&NewLine;&NewLine;&NewLine;&NewLine;<p>Per prima cosa si consiglia di disabilitare immediatamente myQNAPcloud e cambiare la porta web admin di default dalla porta 8080 a qualsiasi altra porta&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>A questo punto gli attaccanti non dovrebbero più avere accesso al dispositivo da remoto&colon; il prossimo passo è terminate qualsiasi processo 7z attivo per interrompere qualsiasi comando di criptazione ancora in esecuzione&period; Questa operazione è possibile loggando nel dispositivo QNAP via SSH o Telnet&period; <&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Eseguire il seguente comando in console per terminare tutti i processi 7z<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>kill -9 <code>ps &vert;grep sbin&sol;7z&vert;grep -v grep&vert;awk '&lbrace; print &dollar;1 &rcub;'<&sol;code><&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Aggiornare tutte le applicazioni del NAS&comma; in particolar modo HBS3 e Malware Remover&period; Eseguire subito una scansione con l&&num;8217&semi;utility QNAP anti Malware in modo che possa individuare e rimuovere la minaccia&period; A questo punto dovreste essere verosimilmente immuni da ulteriori attacchi&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Gli utenti che hanno utilizzato il Malware Remover Tool di QNAP troveranno il file 7z&period;log in&nbsp&semi;<em>&sol;share&sol;CACHEDEV1&lowbar;DATA&sol;&period;qpkg&sol;MalwareRemover&sol;7z&period;log<&sol;em><&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p><strong>Tramite questo file potrebbe essere possibile recuperare i vostri dati&period;<&sol;strong><&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Aggiornamento Gennaio 2022<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Sono ancora in corso numerose campagne di attacchi verso QNAP&comma; tant&&num;8217&semi;è che la casa produttrice è ricorsa anche alle maniere forti&comma; costringendo i dispositivi ad aggiornare il firmware senza l&&num;8217&semi;intervento dell&&num;8217&semi;utente&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p>Se hai bisogno di aiuto&comma; possiamo fornirtelo&period; Vuoi aggiornare il tuo QNAP&quest; Vuoi un controllo per sapere se sei al sicuro&quest; Clicca qui sotto&excl; Il nostro servizio CHIAMAMI è operativo&excl; <br><&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<div class&equals;"blocco&lowbar;adv&lowbar;post">&NewLine;<h2>Problemi con il computer&quest;<&sol;h2>&NewLine;<p>Giotech ti aiuta a risolverli velocemente e senza muoverti da casa&excl;<br>&NewLine;<b>Ed è GRATIS&excl;<&sol;b><&sol;p>&NewLine;<a class&equals;"button color1" data-attr-shortcode&equals;"href&colon;mesmerize&lowbar;blog&lowbar;link" href&equals;"https&colon;&sol;&sol;giotech&period;net&sol;teleassistenza&lowbar;gratis&sol;" target&equals;"&lowbar;self" rel&equals;"noopener noreferrer" data-icon&equals;"">PROVA SUBITO<&sol;a>&NewLine;<&sol;div>&NewLine;

Exit mobile version