El ataque masivo de ransomware Qlocker utiliza 7zip para cifrar dispositivos QNAP

QNAP

Se está llevando a cabo una campaña masiva de ransomware dirigida a dispositivos QNAP en todo el mundo, y los usuarios encuentran sus archivos ahora almacenados en archivos 7zip protegidos con contraseña.

El ransomware se llama Qlocker y comenzó a apuntar a los dispositivos QNAP el 19 de abril de 2021. Desde entonces, ha habido una gran cantidad de actividad en nuestro foro de soporte e ID-Ransomware ha visto una ola de solicitudes de parte de las víctimas.

Presentaciones de ID-R de las víctimas de Qlocker
Presentaciones de ID-R de las víctimas de Qlocker

Según los informes de las víctimas en un tema de soporte de BleepingComputer Qlocker, los atacantes usan 7-zip para mover archivos en dispositivos QNAP a archivos protegidos con contraseña. Mientras se bloquean los archivos, QNAP Resource Monitor mostrará numerosos procesos "7z" que son ejecutables de línea de comandos 7zip.

7zip visto ejecutándose en QNAP Resource Monitor
7zip visto ejecutándose en QNAP Resource Monitor

Una vez finalizado el ransomware, los archivos del dispositivo QNAP se almacenarán en archivos 7-zip protegidos con contraseña que terminan con el .7z extensión. Para extraer estos archivos, las víctimas deberán ingresar una contraseña conocida solo por el atacante.

Archivo 7zip protegido por contraseña
Archivo 7zip protegido por contraseña

Una vez encriptados los dispositivos QNAP, los usuarios se quedan con un archivo !!! READ_ME.txt Nota de rescate que incluye una clave de cliente única que las víctimas deben ingresar para acceder al sitio de pago Tor del ransomware.

Nota de rescate de Qlocker
Nota de rescate de Qlocker

De las notas de rescate de Qlocker vistas por BleepingComputer, se les dice a todas las víctimas que paguen 0.01 Bitcoin, que son aproximadamente $ 557.74, para obtener una contraseña para los archivos almacenados.

Sitio de pago Qlocker Tor
Sitio de pago Qlocker Tor

Mientras el proceso "7z" está activo en un dispositivo, es posible recuperar la contraseña a través de conectarse al dispositivo a través de SSH o Telnet.

Una vez que haya iniciado sesión en la consola, puede ejecutar el comando ps -ef para ver los argumentos de la línea de comando para el programa 7z, incluida la contraseña utilizada para archivar los archivos. Si puede acceder a la línea de comando para 7z, contáctenos para que podamos ayudarlo a extraer la contraseña.

BleepingComputer no ha probado este método y me gustaría escuchar los comentarios de alguien sobre cómo funciona esta técnica.

Índice()

    QNAP cree que están utilizando una vulnerabilidad reciente

    QNAP abordó recientemente vulnerabilidades críticas que podrían permitir que un actor remoto obtenga acceso completo a un dispositivo y ejecute ransomware.

    QNAP abordó estas dos vulnerabilidades el 16 de abril con las siguientes descripciones:

    QNAP le dijo a BleepingComputer que cree que Qlocker aprovecha la vulnerabilidad CVE-2020-36195 para ejecutar el ransomware en dispositivos vulnerables.

    Por este motivo, se recomienda encarecidamente actualizar QTS, la consola multimedia y el complemento de transmisión de medios a las últimas versiones.

    Si bien esto no restaurará sus archivos, lo protegerá de futuros ataques utilizando esta vulnerabilidad.

    COI de Qlocker:

    Archivos asociados:

    !!!READ_ME.txt

    Texto de la nota de rescate:

    !!! All your files have been encrypted !!!
     
    All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
     
    To purchase your key and decrypt your files, please follow these steps:
     
    1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
     
    2. Visit the following pages with the Tor Browser:
     
    gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
     
    3. Enter your Client Key:
     
    [client_key]
     

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir