Si chiama Qlocker il ransomware che sta prendendo di mira i NAS e i dispositivi di rete QNAP e che, dopo aver spostato i file delle vittime in un archivio compresso protetto da password e creato sfruttando il tool 7-zip, chiede un riscatto di 500 euro per sbloccarli. Ecco che c’è da sapere.
Èin corso una massiccia campagna malevola in tutto il mondo che vede come protagonista il ransomware Qlocker progettato per colpire i NAS e i dispositivi di rete prodotti da QNAP: in seguito all’attacco, le vittime si ritrovano tutti i file bloccati e archiviati all’interno di un file ZIP protetto da password.
Per fornire la password necessaria per sbloccare i file, il ransomware richiede quindi il pagamento di 0,01 Bitcoin di riscatto (equivalenti a 472,36 euro con il cambio odierno: per conoscere l’importo preciso, variabile a seconda delle quotazioni giornaliere dei Bitcoin, è sufficiente scrivere in Google la stringa 0,01 bitcoin in euro e premere Invio).
I primi campioni di Qlocker sono stati isolati lo scorso 19 aprile, ma in queste ore gli analisti di ID-Ransomware hanno registrato un’impennata di segnalazioni di attacchi.
Secondo gli analisti, il ransomware Qlocker sfrutta il famoso tool 7-zip per spostare tutti i file della vittima all’interno di un archivio compresso protetto da password.
Questa particolare caratteristica del ransomware fa sì che durante tutte le fasi di attacco vengano avviate numerose istanze di processi associati all’esecuzione del programma 7-zip da riga di comando. Ciò è chiaramente visibile avviando il QNAP Resource Monitor che mostrerà, per l’appunto, una lunga serie di processi “7z” associati all’eseguibile da linea di comando di 7-zip.
Al termine, i file archiviati sul NAS o sul dispositivo QNAP saranno memorizzati in archivi 7-zip protetti da password che terminano con l’estensione .7z. Per estrarre questi archivi, le vittime dovranno inserire una password conosciuta esclusivamente dall’attaccante.
Dopo che il NAS o il dispositivo QNAP è stato criptato, alla vittima viene mostrata la nota di riscatto contenuta all’interno del file di testo !!!READ_ME.txt nel quale è indicata anche la chiave unica da utilizzare per accedere al sito Tor per il pagamento della somma richiesta.
Al momento non è stato ancora scoperto il vettore di attacco sfruttato per diffondere Qlocker.
È probabile, però, che per eseguire il ransomware i cyber criminali sfruttino la vulnerabilità CVE-2020-36195, già corretta lo scorso 16 aprile da QNAP.
In particolare, la vulnerabilità è di tipo SQL Injection ed è stata identificata nei componenti Multimedia Console e Media Streaming Add-On utilizzati per la normale gestione dei dispositivi QNAP.
È dunque fortemente raccomandato procedere il prima possibile con l’aggiornamento dei software di gestione alle ultime versioni rilasciate da QNAP. Questo non consentirà di tornare in possesso dei propri file, ma almeno ci metterà al sicuro da eventuali attacchi.
Come difendersi dai ransomware
Per difendersi da Qlocker e, più in generale, da un attacco ransomware è comunque sempre buona norma seguire alcune semplici regole di sicurezza informatica:
aggiornare costantemente il proprio antivirus e tutte le soluzioni di sicurezza installate sui propri dispositivi;
effettuare periodicamente un backup dei propri file da ripristinare nei casi di emergenza: in questo caso vale la regola 3-2-1 che consiste nel creare tre copie di ogni dato che si vuole conservare, due onsite su sistemi di archiviazione differenti e una off-site, ad esempio sul cloud;
non aprire mai allegati di posta elettronica di dubbia provenienza;
abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows in modo da visualizzare sempre la reale estensione dei file prima di aprirli;
disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni;
disabilitare l’esecuzione delle macro presenti nei documenti Office (Word, Excel e PowerPoint) che potrebbero consentire l’avvio automatico del processo di infezione del ransomware;
tenere sempre aggiornati sia il sistema operativo sia il browser;
utilizzare sempre un account con bassi privilegi durante il normale utilizzo del sistema e limitarsi ad usare l’account amministratore sono in casi eccezionali.
Questa la comunicazione originale inviata dal Team QNAP
Response to Qlocker Ransomware Attacks: Take Actions to Secure QNAP NAS
Taipei, Taiwan, April 22, 2021 – QNAP® Systems, Inc. (QNAP), a leading computing, networking and storage solution innovator, today issued a statement in response to recent user reports and media coverage that two types of ransomware (Qlocker and eCh0raix) are targeting QNAP NAS and encrypting users’ data for ransom. QNAP strongly urges that all users immediately install the latest Malware Remover version and run a malware scan on QNAP NAS. The Multimedia Console, Media Streaming Add-on, and Hybrid Backup Sync apps need to be updated to the latest available version as well to further secure QNAP NAS from ransomware attacks. QNAP is urgently working on a solution to remove malware from infected devices.
QNAP has released an updated version of Malware Remover for operating systems such as QTS and QuTS hero to address the ransomware attack. If user data is encrypted or being encrypted, the NAS must not be shut down. Users should run a malware scan with the latest Malware Remover version immediately, and then contact QNAP Technical Support at https://service.qnap.com/.
For unaffected users , it’s recommended to immediately install the latest Malware Remover version and run a malware scan as a precautionary measure. All user should update their passwords to stronger ones, and the Multimedia Console, Media Streaming Add-on, and Hybrid Backup Sync apps need to be updated to the latest available version. Additionally, users are advised to modify the default network port 8080 for accessing the NAS operating interface. Steps to perform the operation can be found in the information security best practice offered by QNAP (https://qnap.to/3daz2n). The data stored on NAS should be backed up or backed up again utilizing the 3-2-1 backup rule, to further ensure data integrity and security.
For details, please refer to the QNAP security advisory QSA-21-11 (https://qnap.to/3eq7hy) and QSA-21-13 (https://qnap.to/3dygse).
QNAP Product Security Incident Response Team (PSIRT) constantly monitors the latest intelligence to deliver up-to-date information and software updates, ensuring data security for users. Once again, QNAP urges users to take the above-mentioned actions and periodically check/install product software updates to keep their devices away from malicious influences. QNAP also provides the best practice for improving personal and organizational information security. By working together to fight against cybersecurity threats, we make the Internet a safer place for everyone.
ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT
Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.
Non perderti nemmeno un articolo!
Iscriviti alla nostra newsletter inserendo la tua mail qui :
