Di Qlocker, il nuovo ransomware che sta colpendo in maniera massiva NAS Qnap vulnerabili, abbiamo reso qui una prima, dettagliata presentazione, in base a quanto ricostruito dai ricercatori di sicurezza e dai nostri partner tecnologici di Dr. Web. Centinaia sono state le vittime anche in Italia anche se tra domenica 25 e lunedì 26 Aprile sembra essersi ridotto il volume delle infezioni.
Ciò non toglie che la campagna è risultata devastante: i dati dei conti Bitcoin degli attaccanti dietro Qlocker parlano chiaro, 260.000 dollari sono stati guadagnati in 5 giorni semplicemente criptando file da remoto usando il programma 7zip.
Le novità: individuata un'altra falla che permette l'accesso ai NAS QNAP
Qnap qualche giorno fa ha risolto una vulnerabilità critica che consente ad attaccanti remoti di loggare nei NAS QNAP usando credenziali "hardcoded". E' confermato che una parte dei NAS QNAP attaccati da Qlocker presentavano questa falla.
La vulnerabilità in oggetto è la CVE-2021-28799, che è in realtà, già stata risolta nelle seguenti versioni:
- QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 e successivi
- QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 e successivi
- QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 e successivi
- QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 e successivi
E' quindi estremamente consigliato l'aggiornamento di HBS3 alla versione più recente, il prima possibile.
Questa vulnerabilità, assieme alle altre due già individuate e risolte, ovvero la CVE-2020-2509 e la CVE-2020-36195, sono le tre strade di accesso che sono percorse da questo ransomware per violare i dispositivi NAS Qnap. In tutti e tre i casi gli attaccanti ottengono pieno accesso al dispositivo Nas.
I miei file vengono criptati. Che posso fare?
Per coloro che stanno subendo l'infezione ransomware Qlocker, vi sono alcune contromisure attuabili. Anzitutto, chi vede criptare attivamente i propri dati deve immediatamente disabilitare myQNAPcloud e cambiare la porta web admin di default dalla porta 8080 a qualsiasi altra porta.
Questi cambiamenti impediranno agli attaccanti di eseguire ulteriori comandi 7zip per "incarcerare" sotto password i file. A questo punto gli attaccanti non dovrebbero più avere accesso al dispositivo da remoto: il prossimo passo è terminate qualsiasi processo 7z attivo per interrompere qualsiasi comando di criptazione ancora in esecuzione. Questa operazione è possibile loggando nel dispositivo QNAP via SSH o Telnet: rimandiamo alla guida ufficiale di QNAP per questa procedura.
Una volta loggati secondo le modalità sopra indicate, eseguire il seguente comando in console per terminare tutti i processi 7z
kill -9 `ps |grep sbin/7z|grep -v grep|awk '{ print $1 }'`
C'è un modo per ottenere gratuitamente la password?
Uno degli utenti vittime ha indicato una strada percorribile per recuperare la password. Questo metodo però è attuabile soltanto da chi NON HA RIAVVIATO il dispositivo.
Rimandiamo al video già pubblicato nello scorso articolo, che pare ad ora l'unica strada per recuperare la password dell'archivio.
Aggiungiamo soltanto, rispetto a quanto indicato nel video, che gli utenti che hanno utilizzato il Malware Remover Tool di QNAP troveranno il file 7z.log in /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log e non su /mnt/HDA_ROOT/7z.log.
Questa strada non è invece utile per coloro che hanno riavviato il dispositivo, in quanto ad ogni riavvio il file di log viene svuotato.
Chi ha recuperato la password (o ha pagato il riscatto)
può usare il seguente comando per decriptare tutti i file contemporaneamente
SET source=C:\Users\thomb158\Downloads\5thKind\7z
FOR /F "TOKENS=*" %%F IN ('DIR /S /B "%source%\*.7z"') DO "C:\Program Files\7-Zip\7z.exe" x -pPASSWORD "%%~fF" -o"%%~pF\"
EXIT
dove SET source= è il percorso ai file criptati e -p è la password. Occorre avere installato il programma 7zip (grazie a ss1973 per questa indicazione).
Per ulteriori informazioni rimandiamo direttamente ai canali ufficiali di QNAP.
Nessun commento:
Posta un commento