NAS QNAP sotto attacco ransomware Qlocker (aggiornato)

NAS QNAP sotto attacco ransomware Qlocker, i file vengono crittografati in archivi 7zip protetti da password. Vediamo cosa succede.

Ransomware Qlocker

Il ransomware ha iniziato a prendere di mira i NAS QNAP dal 19 aprile, il contenuto del NAS viene criptato e spostato in file 7zip compressi protetti da password, la cui parola chiave ovviamente è conosciuta solo dall’attaccante.

Come riportato da BleepingComputer e dalla stessa QNAP, il ransomware sfrutta la vulnerabilità 36195 del 2020, corretta con l’ultimo aggiornamento rilasciato il 16 aprile.

Il team di BleepingComputer forse ha trovato un punto debole nella struttura del ransomware, cosa che permetterebbe di recuperare i propri dati gratuitamente; appena sarà disponibile aggiorneremo l’articolo.

Purtroppo non è il primo attacco verso i NAS di questo tipo, proprio i QNAP erano stati sotto attacco circa un mese fa, cosa che ribadisce l’importanza di mantenere sempre aggiornato il dispositivo oltre a non utilizzare le credenziali presenti di default ed abilitare l’autenticazione 2FA.

Aggiornamento da QNAP

Un utente ha riportato la risposta ricevuta direttamente dal supporto QNAP:

Gentile cliente,
grazie per aver contattato il supporto tecnico QNAP. Come indicato nella newsletter della sicurezza QNAP, recentemente sono stati presi di mira alcuni device QNAP esposti su internet:- https://www.qnap.com/…/response-to-qlocker-ransomware…
Riteniamo che l’attacco sia correlato a CVE-2020-36195 e CVE-2021-28799 – https://www.qnap.com/en/security-advisory/qsa-21-11– https://www.qnap.com/en/security-advisory/qsa-21-13
Quindi consigliamo vivamente di aggiornare Multimedia Console, HBS3 e Media Streaming Add-on alla versione più recente. Inoltre, modificare la porta web predefinita 8080 (e non riavviare o spegnere il NAS).
NOTA IMPORTANTE:S e il processo crittografico ha completato la propria esecuzione o se il NAS è stato riavviato/spento, le procedure riportate di seguito nella comunicazione non possono essere più applicate.
In quel caso l’unico modo per ripristinare i dati è tramite un backup precedente dopo aver re-inizializzato il NAS. Malware Remover contiene una nuova regola in grado di analizzare l’attacco ransomware e recuperare la chiave di crittografia se la crittografia è ancora in corso o se il NAS non è stato riavviato/spento.
Se il processo di criptazione dovesse essere ancora in running (NON riavviare il NAS o spegnerlo), basterà seguire questo workflow per recuperare la chiave di criptazione:
Method1.
Install Malware Remover from APP Center and run it manually;
Connect nas over ssh:https://www.qnap.com/…/how-to-access-qnap-nas-by-ssh
Use the command below to find if ransomware is still in progress ps | grep 7z
If command back ‘No such file or directory’ means the NAS has been rebooted or encryption process has finished, if that is the case, unfortunately there is nothing that can be done to help;
If 7z is running, copy/paste command below and press enter(1 line) cd /usr/local/sbin; printf ‘#!/bin/sh \necho [email protected]\necho [email protected]>>/mnt/HDA_ROOT/7z.log\nsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z
Wait a couple minutes to use cat to grep password;cat /mnt/HDA_ROOT/7z.log
It will look like bellow: a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
You can reboot NAS and use the password to decrypt the files;
If you don’t know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.
In allegato una guida QNAP per aumentare la sicurezza del proprio NAS quando viene esposto su internet: https://www.qnap.com/…/quali-sono-le-migliori-prassi… Faccia riferimento al seguente link con i consigli sulla sicurezza del proprio NAS:https://www.qnap.com/en/security-advisories
Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata: https://www.qnap.com/solution/topics-of-interest/it-it/Il supporto QNAP non ha ulteriori consigli o workflow oltre quelli indicati, per gli utenti che avessero difficoltà ad eseguire quanto riportato possono rivolgersi a personale tecnico esterno di propria fiducia. Grazie