Qnap Qlocker Ransomware

Si chiama Qlocker il ransomware che sta prendendo di mira i NAS e i dispositivi di rete QNAP e che, dopo aver spostato i file delle vittime in un archivio compresso protetto da password e creato sfruttando il tool 7-zip, chiede un riscatto di 500 euro per sbloccarli. Ecco che c’è da sapere:

È in corso una massiccia campagna malevola in tutto il mondo che vede come protagonista il ransomware Qlocker progettato per colpire i NAS e i dispositivi di rete prodotti da QNAP: in seguito all’attacco, le vittime si ritrovano tutti i file bloccati e archiviati all’interno di un file ZIP protetto da password.

Per fornire la password necessaria per sbloccare i file, il ransomware richiede quindi il pagamento di 0,01 Bitcoin di riscatto (equivalenti a 472,36 euro con il cambio odierno: per conoscere l’importo preciso, variabile a seconda delle quotazioni giornaliere dei Bitcoin, è sufficiente scrivere in Google la stringa 0,01 bitcoin in euro e premere Invio).

I primi campioni di Qlocker sono stati isolati lo scorso 19 aprile, ma in queste ore gli analisti di ID-Ransomware hanno registrato un’impennata di segnalazioni di attacchi.

Qlocker: come avviene l’attacco ransomware

Secondo gli analisti, il ransomware Qlocker sfrutta il famoso tool 7-zip per spostare tutti i file della vittima all’interno di un archivio compresso protetto da password.

Questa particolare caratteristica del ransomware fa sì che durante tutte le fasi di attacco vengano avviate numerose istanze di processi associati all’esecuzione del programma 7-zip da riga di comando. Ciò è chiaramente visibile avviando il QNAP Resource Monitor che mostrerà, per l’appunto, una lunga serie di processi “7z” associati all’eseguibile da linea di comando di 7-zip.

Al termine, i file archiviati sul NAS o sul dispositivo QNAP saranno memorizzati in archivi 7-zip protetti da password che terminano con l’estensione .7z. Per estrarre questi archivi, le vittime dovranno inserire una password conosciuta esclusivamente dall’attaccante.

Dopo che il NAS o il dispositivo QNAP è stato criptato, alla vittima viene mostrata la nota di riscatto contenuta all’interno del file di testo !!!READ_ME.txt nel quale è indicata anche la chiave unica da utilizzare per accedere al sito Tor per il pagamento della somma richiesta.

Per poche ore è stato possibile recuperare la chiave di sblocco dei file

Curiosamente, grazie ad un bug nel sito Tor di Qlocker, per qualche ora è stato possibile recuperare la password di sblocco dell’archivio 7-zip in maniera completamente gratuita. Il bug è stato segnalato dal ricercatore di sicurezza Jack Cable a BleepingComputer.

In pratica, sfruttando questo bug, le vittime potevano recuperare l’ID di una transazione Bitcoin effettuata da una persona che aveva già pagato il riscatto e alterarlo leggermente. L’ID della transazione alterato veniva accettato dal sito Tor di Qlocker Tor e in cambio la vittima otteneva la password di sblocco dell’archivio compresso contenente i propri file criptati dal ransomware.

Cable si è quindi reso disponibile ad aiutare privatamente le persone a recuperare le loro password, ma purtroppo dopo circa un’ora gli operatori del ransomware hanno identificato e corretto il bug.

Pertanto, al momento non c’è modo di recuperare i file senza una password, che non può più essere recuperata gratuitamente.

Possibili soluzioni di mitigazione

Al momento non è stato ancora scoperto il vettore di attacco sfruttato per diffondere Qlocker.

È probabile, però, che per eseguire il ransomware i cyber criminali sfruttino la vulnerabilità CVE-2020-36195, già corretta lo scorso 16 aprile da QNAP.

In particolare, la vulnerabilità è di tipo SQL Injection ed è stata identificata nei componenti Multimedia Console e Media Streaming Add-On utilizzati per la normale gestione dei dispositivi QNAP.

È dunque fortemente raccomandato procedere il prima possibile con l’aggiornamento dei software di gestione alle ultime versioni rilasciate da QNAP. Questo non consentirà di tornare in possesso dei propri file, ma almeno ci metterà al sicuro da eventuali attacchi.

La soluzione proposta da QNAP

Intanto, QNAP ha fornito alcuni utili consigli agli utenti per aiutarli a prevenire qualunque attacco sferrato mediante il ransomware Qlocker.

Innanzitutto, è importante installare il prima possibile l’ultima versione di Malware Remover ed eseguire una scansione del disposirtivo alla ricerca di tracce del ransomware. In questa fase, qualora i dati archiviati nel NAS siano stati già crittografati o siano in procinto di esserlo, è importante non spegnere il NAS.

Successivamente, occorre aggiornare le applicazioni Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync per mettere al sicuro il proprio NAS sia dal ransomware Qlocker sia dal malware eCh0raix.

Gli esperti di QNAP consigliano anche di modificare la porta di comunicazione predefinita (8080) usata per accedere all’interfaccia web del NAS.

Infine, è caldamente consigliato aggiornare la password di accesso al dispositivo con una più robusta.

Come difendersi dai ransomware

Per difendersi da Qlocker e, più in generale, da un attacco ransomware è comunque sempre buona norma seguire alcune semplici regole di sicurezza informatica:

  1. aggiornare costantemente il proprio antivirus e tutte le soluzioni di sicurezza installate sui propri dispositivi;
  2. effettuare periodicamente un backup dei propri file da ripristinare nei casi di emergenza: in questo caso vale la regola 3-2-1 che consiste nel creare tre copie di ogni dato che si vuole conservare, due onsite su sistemi di archiviazione differenti e una off-site, ad esempio sul cloud;
  3. non aprire mai allegati di posta elettronica di dubbia provenienza;
  4. abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows in modo da visualizzare sempre la reale estensione dei file prima di aprirli;
  5. disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni;
  6. disabilitare l’esecuzione delle macro presenti nei documenti Office (Word, Excel e PowerPoint) che potrebbero consentire l’avvio automatico del processo di infezione del ransomware;
  7. tenere sempre aggiornati sia il sistema operativo sia il browser;
  8. utilizzare sempre un account con bassi privilegi durante il normale utilizzo del sistema e limitarsi ad usare l’account amministratore sono in casi eccezionali.