Ransomware Qlocker: cosa sta succedendo
In tutto il mondo è in azione una massiccia campagna malevola da parte del ransomware Qlocker, costruito per colpire i NAS e i dispositivi di rete prodotti da QNAP: in seguito all’attacco, le vittime si ritrovano tutti i file bloccati e archiviati all’interno di un file ZIP protetto da password.
Per sbloccare i file il ransomware richiede un riscatto di 0,01 Bitcoin (pari a circa 472,36 €).
I primi eventi di Qlocker sono stati isolati lo scorso 19 Aprile per poi registrare un’impennata del numero di attacchi.
Come agisce Qlocker
Il ransomware Qlocker sfrutta il diffuso tool 7-zip per spostare tutti i file presenti sul dispositivo QNAP della vittima all’interno di un archivio compresso protetto da password conosciuta solo dall’attaccante, avviando numerose istanze di processi associati all’esecuzione del programma 7-zip da riga di comando.
Una evidenza dell’attività si ha attraverso il QNAP Resource Monitor che mostrerà una lunga serie di processi “7z” associati all’eseguibile da linea di comando di 7-zip.
Dopo che il NAS o il dispositivo QNAP è stato criptato, alla vittima viene mostrato un file di testo !!!READ_ME.txt nel quale è indicata la somma richiesta per il riscatto e la chiave unica da utilizzare per accedere al sito Tor per procedere al pagamento .
Come si diffonde Qlocker
Purtroppo ancora non è stato definito il vettore di attacco sfruttato per diffondere Qlocker, che sembra potersi propagare anche attraverso reti VPN.
È probabile, però, che sfrutti le vulnerabilità CVE-2020-2509 e CVE-2020-36195, che sono già state corrette da QNAP il 16 Aprile.
Dal momento che la vulnerabilità è di tipo SQL Injection, QNAP raccomanda di aggiornare il più presto possibile i software QTS, Multimedia Console e the Media Streaming Add-on utilizzati per la normale gestione dei dispositivi QNAP al fine di proteggersi da eventuali attacchi.
I consigli di QNAP
A titolo di prevenzione di un eventuale infezione da QLocker, QNAP suggerisce di:
- installare il prima possibile l’ultima versione di Malware Remover ed eseguire una scansione dei dispositivi alla ricerca di tracce del ransomware.
- Qualora i dati archiviati nel NAS siano stati già crittografati o siano in procinto di esserlo, è importante non spegnere il NAS e non eseguire il reboot ma contattare l’assistenza QNAP all’indirizzo https://service.qnap.com/.
- aggiornare le applicazioni Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync per mettere al sicuro il proprio NAS da successive infezioni.
- modificare la porta di comunicazione predefinita (8080) usata per accedere all’interfaccia web del NAS.
- aggiornare la password di accesso al dispositivo con una più robusta.