QNAP ha sollecitato gli utenti ad aggiornare l'app di disaster recovery Hybrid Backup Sync - HBS3 per impedire al ransomware Qlocker di colpite i propri NAS QNAP esposti su Internet.
"Il ransomware conosciuto come Qlocker sfrutta la vulnerabilità CVE-2021-28799 per attaccare i NAS QNAP che eseguono certe versioni di HBS3" hanno fatto sapere con apposito avviso di sicurezza.
Insomma, per impedire a Qlocker di infettare il proprio NAS QNAP basta aggiornate HBS3 all'ultima versione disponibile.
La vulnerabilità CVE-2021-28799
E' una vulnerabilità che conduce ad autorizzazioni improprie sul dispositivo. Se correttamente sfruttata, agisce, nei fatti, come un account backdoor che consente all'attaccante di accedere a dispositivi che eseguono versioni obsolete di HBS3. Questa vulnerabilità è già stata risolta per le versioni HBS3:
- QTS 4.5.2: HBS 3 v16.0.0415 e successivi;
- QTS 4.3.6: HBS 3 v3.0.210412 e successivi;
- QTS 4.3.3 and 4.3.4: HBS 3 v3.0.210411 e successivi;
- QuTS hero h4.5.1: HBS 3 v16.0.0419 e successivi;
- QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419 e successivi.
Versioni precedenti devono essere aggiornate. La falla invece non riguarda le versioni HBS2 e HBS 1.3.
Qlocker in breve:
Qlocker è un ransomware specializzato in attacchi contro NAS QNAP. E' stato diffuso con una massiva campagna che è iniziata a metà Aprile e che ha mietuto molte vittime anche in Italia. Il ransomware sostituisce i file presenti sul NAS con un archivio 7-zip protetto da password, per ottenere la quale viene richiesto un riscatto in criptovaluta. Inizialmente risolvibile a causa di alcuni bug (nel sistema di pagamento e per la presenza di un file di log contenente la password dell'archivio), è divenuto poi irrisolvibile senza il supporto degli attaccanti, che hanno proceduto in pochissime ore a risolvere tutti i bug. Ad ora, impedire l'infezione e disporre di copie di backup dei dati sono le uniche due maniere per evitare l'attacco e la perdita dei dati.
Per approfondire >
1. Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani
2. Qlocker: aggiornamenti sul ransomware che sta assediando i NAS QNAP
Un avviso che arriva in ritardo
E' sempre da valutarsi positivamente la risoluzione di una vulnerabilità (fermo restando che poi occorre che gli utenti eseguano le patch o gli update, problema non da poco), ma sul caso specifico non si può non registrare l'eccessivo ritardo. Sicuramente questo pensano le centinaia di vittime di Qlocker che vedono arrivare avviso e patch con più di un mese di ritardo e con oltre 350.000 dollari già estorti. Inoltre tutti i siti di pagamento Tor afferenti a Qlocker non sono più accessibili, lasciando addirittura vittime disposte a pagare senza possibilità di pagare il riscatto. Qlocker ha chiuso i battenti alla velocità della luce, ma non è chiaro se possa aver subito un destino simile a quello di Darkside.
Ricordiamo comunque che contro i NAS Qnap rimangono attive due diverse campagne ransomware: Agelocker e QNAPCrypt.
Nessun commento:
Posta un commento