Attenzione a Qlocker! Il ransomware che attacca i NAS QNAP e usa 7-zip per bloccare i file
Dallo scorso 19 aprile si sta verificando una campagna di infezione ransomware che prende di mira i dispositivi NAS QNAP in tutto il mondo. Il ransomware, conosciuto con il nome di Qlocker, ha la particolarità di sfruttare 7zip per rendere inacessibili i dati, comprimendoli all’interno di un archivio protetto da password.
Gli utenti dei dispositivi che vengono colpiti da questo attacco vedranno numerosi archivi con estensione .7z, tutti protetti da una password nota solo agli autori della campagna di infezione. Dopo che il contenuto del NAS viene reso inaccessibile, gli utenti si ritrovano con una richiesta di riscatto che include una chiave client univoca che le vittime devono inserire per poter accedere tramite Tor al sito per il pagamento del riscatto.
Riscatto di 0,01 Bitcoin per sbloccare i dati
Viene richiesto un pagamento di 0,01 Bitcoin che al cambio attuale (invero piuttosto variabile) è di circa 500 dollari. Se il riscatto viene pagato correttamente, il sito a cui la vittima si è collegata per effettuare il pagamento mostrerà la chiave per poter accedere a tutti i suoi archivi 7Zip. La password è univoca per ciascuna vittima e non può essere usata per sbloccare altri archivi.
— Jack Cable (@jackhcable) April 22, 2021
E’ interessante notare che fino al 22 aprile sul sito di Qlocker era presente un bug, ora purtroppo risolto, che poteva consentire alla vittima di recuperare gratuitamente la password per lo sblocco degli archivi compressi. Il bug, scoperto da un ricercatore di sicurezza, è stato sfruttato per aiutare alcune vittime a recuperare le password ed è stato inoltre comunicato a Emsisoft per cercare di creare un sistema di recupero. Purtroppo però la finestra temporale di intervento è stata chiusa con la risoluzione del bug.
Quanto alle modalità di infezione è bene osservare che di recente QNAP si è occupata di risolvere alcune vulnerabilità critiche che potevano consentire l’accesso remoto non autorizzato ai suoi dispositivi. E’ quindi probabile che si tratti di uno sfruttamento attivo di queste vulnerabilità in dispositivi che ancora non sono stati aggiornati con le opportune patch correttive. In particolare pare che la vulnerabilità sfruttata da Qlocker possa essere quella classificata con codice CVE-2020-36195.
QNAP è a conoscenza del problema e ha diramato una nota nei giorni scorsi, nella quale comunica:
“QNAP ha rilasciato una versione aggiornata di Malware Remover per sistemi operativi come QTS e QuTS hero per affrontare l’attacco ransomware. Se i dati dell’utente sono crittografati o vengono crittografati, il NAS non deve essere spento. Gli utenti devono eseguire immediatamente una scansione del malware con l’ultima versione di Malware Remover, quindi contattare il supporto tecnico QNAP su https://service.qnap.com/“
Non è chiaro se il Malware Remover possa consentire di ripristinare l’accesso ai dati, o se semplicemente aggiorna il NAS con le patch di sicurezza e rimuove il malware presente. In ogni caso vale la pena contattare il supporto tecnico QNAP per avere tutta l’assistenza possibile nel malaugurato caso ci si dovesse trovare vittima di Qlocker.
Fonte: http://feeds.hwupgrade.it/