Los dispositivos NAS de QNAP son víctimas de campaña de ransomware Qlocker

QNAP otra vez es objeto de una campaña de una nueva cepa de ransomware conocida como Qlocker, que ha sido evidenciado explotando la vulnerabilidad de inyección SQL (CVE-2020-36195) para cifrar datos en dispositivos vulnerables.

Esto es precisamente lo que ha estado sucediendo desde al menos mediados de abril, cuando los ciberactores detrás de Qlocker comenzaron a mover los archivos de los clientes de QNAP en archivos 7zip protegidos con contraseña y a solicitar rescates.

Qlocker

El ransomware que se conoce como Qlocker en abril de este año ha tenido como objetivo atacar las computadoras de QNAP aprovechándose de vulnerabilidades críticas recientemente informadas. Estos exploits permitieron a los actores de amenazas ejecutar de forma remota la utilidad de archivo 7zip para proteger con contraseña todos los archivos en los dispositivos de almacenamiento NAS de las víctimas.

Las víctimas deben ingresar la contraseña identificada por el perpetrador sólo para recuperar esos archivos. 

Tan pronto como uno ha cifrado los dispositivos QNAP, tienen una nota de rescate !!! READ ME.txt con una clave de cliente especial para iniciar sesión en la plataforma de pago del ransomware Tor. 

Se espera que todas las víctimas paguen Bitcoins de aproximadamente 0.01, que son alrededor de $557.74.

Una vez realizado el pago y se haya ingresado una identificación fiscal de Bitcoin no válida, se mostrará una contraseña de archivo 7Zip en el sitio web de Tor Payments. Esta contraseña es exclusiva de la víctima y no se puede utilizar en las computadoras de todas las demás víctimas.

Explotando vulnerabilidades QNAP

QNAP resolvió vulnerabilidades críticas que podrían permitir que un actor remoto obtenga acceso completo a un dispositivo y ejecute ransomware. Estas vulnerabilidades tienen las siguientes descripciones:

• CVE-2020-2509: Vulnerabilidad de inyección de comandos en QTS y QuTS hero.
• CVE-2020-36195: Vulnerabilidad de inyección de SQL en la consola multimedia y el complemento de transmisión de medios.
• CVE-2021-28799: vulnerabilidad de autorización incorrecta en HBS 3 Hybrid Backup Sync.

Debido a esto, se recomienda encarecidamente actualizar QTS, la consola multimedia y el complemento de transmisión de medios a las últimas versiones.

Remediación:

Comunicado QNAP

• "QNAP insta encarecidamente a todos los usuarios a que instalen inmediatamente la última versión de Malware Remover y ejecuten un escaneo de malware en el NAS de QNAP. La Consola multimedia, el Complemento de transmisión de medios y las aplicaciones Hybrid Backup Sync también deben actualizarse a la última versión disponible para proteger aún más el NAS de QNAP de los ataques de ransomware. QNAP está trabajando urgentemente en una solución para eliminar el malware de los dispositivos infectados ".
• QNAP advierte que, si los archivos de un dispositivo se han cifrado, no deben reiniciar el dispositivo y, en su lugar, deben ejecutar inmediatamente el escáner de malware. "Si los datos del usuario están encriptados o se están encriptando, el NAS no debe apagarse. Los usuarios deben ejecutar un escaneo de malware con la última versión de Malware Remover inmediatamente y luego comunicarse con el Soporte técnico de QNAP en https://service.qnap.com/, "advierte QNAP.
• Si bien el escáner de malware y las actualizaciones de seguridad no recuperarán sus archivos, lo protegerán de futuros ataques utilizando esta vulnerabilidad.

Panorama

Los dispositivos NAS de la compañía han estado bajo ataque durante meses, con advertencias de infecciones como:

• Malware QSnatch.
• Infecciones de Muhstik Ransomware.
• Campaña eChOraix Ransomware.
• Ataques de AgeLocker Ransomware.
• Ataques de malware UnityMiner para ser usados como mineros de criptomonedas.

Esto deja en evidencia que los ciberactores tienen presente las vulnerabilidades que afectan a estos dispositivos y seguirán tratando de explotarlas. El llamado es estar atento a efectuar oportunamente las actualizaciones de software y avisos de seguridad publicados con objeto de garantizar la seguridad de su NAS de QNAP.