
Varovanie pred masívnou ransomvérovou kampaňou na zariadenia QNAP
Na celom svete prebieha masívna ransomvérová kampaň zameraná na zariadenia QNAP. Používatelia nachádzajú svoje súbory zaheslované a uložené v archívoch 7zip.
Ide o ransomvér Qlocker a na zariadenia QNAP sa začal zameriavať 19. apríla 2021. Odvtedy bol zaznamenaný prudký nárast počtu obetí.
Na presun súborov z QNAP zariadení do archívov používajú 7zip. Súbory sú chránené heslom a končia príponou .7z. Aby bolo možné súbory z tohto archívu extrahovať, obete musia zadať heslo, ktoré pozná iba útočník.
Po zašifrovaní zariadení QNAP zostáva používateľom súbor v ktorom je poznámka s jedinečným kľúčom obete, ktorý ma zadať a prihlásiť sa na platobnú stránku. Útočníci požadujú za zverejnenie hesla 0,01 bitcoinu, čo predstavuje hodnotu viac ako 500 dolárov pri dnešnom kurze.
Po zaplatení výkupného sa zobrazí stránka s heslom pre odomknutie archívu. Každá obeť má na základe kľúča priradené jedinečné heslo.
Spoločnosť QNAP vydala 16. apríla bezpečnostné aktualizácie na operačné systémy QTS a QuTS, ktoré opravujú dve kritické bezpečnostné zraniteľnosti. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje útočníkovi prostredníctvom zasielania špeciálne vytvorenej požiadavky vykonať škodlivý kód a získať citlivé údaje.
Spoločnosť uviedla, že útočníci využívali na vykonávanie ransomvéru nasledujúce zraniteľnosti:
- CVE-2020-2509: Injection zraniteľnosť v produktoch QTS a QuTS
- CVE-2020-36195: SQL injection zraniteľnosť v multimediálnej konzole
Z tohto dôvodu Národné centrum kybernetickej bezpečnosti SK-CERT (aj na základe odporúčaní spoločnosti QNAP) odporúča všetkým používateľom:
- Aktualizovať QTS, Multimedia Console a Media Streaming Add-on a Hybrid Backup Sync na najnovšie verzie
- Nainštalovať najnovšiu verziu programu spoločnosti QNAP – Malware Remover, ktorý pomôže zistiť prítomnosť škodlivého kódu na zariadeniach QNAP NAS
- V prípade, že sú údaje používateľov šifrované, úložiská NAS sa nesmú vypnúť. Používatelia by mali okamžite spustiť skenovanie škodlivého kódu s programom Malware Remover a následne kontaktovať technickú podporu QNAP na adrese https://service.qnap.com/.
- Dbajte na to, aby zariadenia neboli voľne prístupné cez internet a ak je nevyhnutné na ne pristupovať vzdialene, využívajte na to zabezpečený kanál (napr. VPN)
Zdroje:
https://www.qnap.com/en/security-advisory/qsa-21-11
https://www.qnap.com/de-de/security-advisory/qsa-21-05
https://securingsam.com/new-vulnerabilities-allow-complete-takeover/
https://heimdalsecurity.com/blog/qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/
« Späť na zoznam