Varovanie pred masívnou ransomvérovou kampaňou na zariadenia QNAP

Na celom svete prebieha masívna ransomvérová kampaň zameraná na zariadenia QNAP. Používatelia nachádzajú svoje súbory zaheslované a uložené v archívoch 7zip.

Ide o ransomvér Qlocker a na zariadenia QNAP sa začal zameriavať 19. apríla 2021. Odvtedy bol zaznamenaný prudký nárast počtu obetí.

Na presun súborov z QNAP zariadení do archívov používajú 7zip. Súbory sú chránené heslom a končia príponou .7z. Aby bolo možné súbory z tohto archívu extrahovať, obete musia zadať heslo, ktoré pozná iba útočník.

Po zašifrovaní zariadení QNAP zostáva používateľom súbor v ktorom je poznámka s jedinečným kľúčom obete, ktorý ma zadať a prihlásiť sa na platobnú stránku. Útočníci požadujú za zverejnenie hesla 0,01 bitcoinu, čo predstavuje hodnotu viac ako 500 dolárov pri dnešnom kurze.

Po zaplatení výkupného sa zobrazí stránka s heslom pre odomknutie archívu. Každá obeť má na základe kľúča priradené jedinečné heslo.

Spoločnosť QNAP vydala 16. apríla bezpečnostné aktualizácie na operačné systémy QTS a QuTS, ktoré opravujú dve kritické bezpečnostné zraniteľnosti. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje útočníkovi prostredníctvom zasielania špeciálne vytvorenej požiadavky vykonať škodlivý kód a získať citlivé údaje.

Spoločnosť uviedla, že útočníci využívali na vykonávanie ransomvéru nasledujúce zraniteľnosti:

  • CVE-2020-2509: Injection zraniteľnosť v produktoch QTS a QuTS
  • CVE-2020-36195: SQL injection zraniteľnosť v multimediálnej konzole

Z tohto dôvodu Národné centrum kybernetickej bezpečnosti SK-CERT (aj na základe odporúčaní spoločnosti QNAP) odporúča všetkým používateľom:

  • Aktualizovať QTS, Multimedia Console a Media Streaming Add-on a Hybrid Backup Sync na najnovšie verzie
  • Nainštalovať najnovšiu verziu programu spoločnosti QNAP – Malware Remover, ktorý pomôže zistiť prítomnosť škodlivého kódu na zariadeniach QNAP NAS
  • V prípade, že sú údaje používateľov šifrované, úložiská NAS sa nesmú vypnúť. Používatelia by mali okamžite spustiť skenovanie škodlivého kódu s programom Malware Remover a následne kontaktovať technickú podporu QNAP na adrese https://service.qnap.com/.
  • Dbajte na to, aby zariadenia neboli voľne prístupné cez internet a ak je nevyhnutné na ne pristupovať vzdialene, využívajte na to zabezpečený kanál (napr. VPN)

Zdroje:

https://www.qnap.com/en/security-advisory/qsa-21-11

https://www.qnap.com/de-de/security-advisory/qsa-21-05

https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/

https://securingsam.com/new-vulnerabilities-allow-complete-takeover/

https://heimdalsecurity.com/blog/qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/

https://www.qnap.com/en/news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas


« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy