Qlocker ransomware se bloquea después de extorsionar a cientos de usuarios de QNAP

Pago del rescate

La banda de ransomware Qlocker cerró después de ganar 350.000 dólares en un mes aprovechando las vulnerabilidades en los dispositivos NAS de QNAP.

A partir del 19 de abril, los propietarios de dispositivos NAS de QNAP en todo el mundo descubrieron repentinamente que los archivos de su dispositivo habían sido reemplazados por archivos 7-zip protegidos con contraseña.

Además de los archivos cifrados, los propietarios de QNAP encontraron una nota de rescate. READ_ME.txt, que explica que sus archivos estaban encriptados y tuvieron que visitar un sitio Tor para pagar un rescate y recuperar sus archivos.

Nota de rescate de Qlocker
Nota de rescate de Qlocker

El sitio Tor identificó a los atacantes como Qlocker y requirió 0.01 bitcoins, o alrededor de $ 550, para recibir la contraseña de sus archivos.

Posteriormente, se determinó que los actores de la amenaza llevaron a cabo los ataques a través de las vulnerabilidades de QNAP recientemente reveladas que permitieron a los actores de la amenaza cifrar los archivos de las víctimas utilizando la aplicación 7-zip integrada de forma remota.

El uso de un enfoque tan simple les permitió cifrar más de mil, si no miles, de dispositivos en solo un mes.

Índice de contenidos
  1. La operación de Qlocker se detiene
  2. Siguiendo el dinero

La operación de Qlocker se detiene

Como una posible señal de su cierre inminente, los sitios de Qlocker Tor han comenzado a mostrar un mensaje que indica que "Este sitio se cerrará pronto".

Sitio de Qlocker Tor que indica que se cerrará en breve

Más recientemente, la banda Qlocker ha comenzado una táctica de cebo y cambio en lo que respecta al pago de rescates.

Las víctimas informaron que después de pagar los .01 bitcoins requeridos y enviar la identificación de la transacción en el sitio Qlocker Tor, el sitio supuestamente declaró que tenían que pagar .02 bitcoins adicionales para recuperar sus archivos.

"Bitcoin es cada vez más difícil de encontrar, el tiempo no espera nada. El nuevo precio es 0.03", mostraría el sitio Qlocker Tor durante su cambio de cebo.

Finalmente, el sitio anterior se cerró, pero un día después apareció otro sitio Qlocker Tor.

Hoy, en las pruebas de BleepingComputer y los informes de víctimas en nuestro tema de soporte de Qlocker, ya no se puede acceder a todos los sitios de Qlocker Tor y las víctimas ya no tienen forma de pagar el rescate.

Después del ataque de ransomware DarkSide a Colonial Pipeline y la consiguiente escalada de presión por parte de las fuerzas del orden de EE. UU., El ransomware DarkSide se cerró y REvil comenzó a limitar sus objetivos.

Desde entonces, los sitios Tor de otras operaciones de ransomware se han desconectado, incluidos los de Ako / Ranzy y Everest.

No está claro si el cierre de los sitios de Qlocker está relacionado con el temor a una mayor actividad policial.

Siguiendo el dinero

En lugar de pedir millones de dólares para recuperar los archivos, los actores de amenazas han fijado el precio de sus demandas de rescate en solo $ 500, lo que ha resultado en que muchas empresas paguen el rescate para recuperar sus archivos.

Dado que la operación de ransomware Qlocker utilizó un conjunto fijo de direcciones de Bitcoin a través de las cuales se rotaron las víctimas, fue posible rastrear cuántos bitcoins recibieron en pagos de rescate.

De las veintidós direcciones de Bitcoin Qlocker conocidas por BleepingComputer, las víctimas pagaron un total de 8,93258497 bitcoins en ransomware. Hoy vale $ 353,708, pero antes de la caída de Bitcoin de esta semana, esos mismos bitcoins valdrían casi $ 450,000.

Si dividimos la cantidad de Bitcoins ganados por el pago de rescate de 0.01 bitcoin, llegamos a unas 893 víctimas que pagaron el rescate.

Esta cantidad de rescates y víctimas podría ser mayor si Qlocker usara otras direcciones de bitcoin.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: Nelida Haydee Saldivia.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a KnownHost que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Subir