Qlocker: il ransomware che sta attaccando i NAS
Dopo gli attacchi ai danni di aziende e istituzioni, arriva ora un problema serio che colpisce non solo piccole e medie imprese, ma anche gli utenti. Il ransomware Qlocker sta attaccando i NAS Qnap: sfrutta due vulnerabilità di Qnap e comprime tutti i file presenti sul disco in formato 7zip protetto da password, cancella i file originali e lascia solo un file di testo con le indicazioni per recuperare il tutto. Qnap sta rilasciando due patch per proteggere i suoi Nas.
A partire dal 19 di aprile, un attacco ransomware su scala mondiale sta colpendo i NAS Qnap che sono esposti sulla rete pubblica. I server infettati sarebbero già migliaia.
Un bel problema, anche perché il NAS viene visto come la soluzione di backup o di storage dei dati più importanti. Nei mesi scorsi, quando abbiamo pubblicato articoli sui riscatti e sugli attacchi ransomware, molte persone hanno detto di sentirsi al sicuro perché tanto i loro dati sono al sicuro su un NAS.
Quindi, se anche il computer venisse attaccato e criptato, si potrebbe ripristinare tutto. In questo caso è il NAS a diventare la vittima del qlocker, ed essendo la cassaforte di foto, documenti e anche file di lavoro avere i dati sul NAS “ostaggio” di un criminale non è affatto piacevole.
Il ransomware Qlocker sta attaccando i NAS Qnap
Le prime segnalazioni relative all’attacco del qlocker sono arrivate quattro giorni fa. Qlocker sfrutta le vulnerabilità CVE-2020-36195 e CVE-2021-28799 per attaccare i NAS, spostare i file in un archivio 7-zip protetto da password e quindi chiedere agli utenti il pagamento di un riscatto di 0,01 Bitcoin (circa 410 euro al cambio attuale).
Le istruzioni sono indicate in un file di testo. È necessario utilizzare il Tor browser per accedere al sito in cui deve essere inserita la “client key” per il login. Dopo aver inserito l’identificatore della transazione che dimostra l’avvenuto pagamento, sulla pagina viene mostrata la password per l’archivio 7-zip.
La risposta di Qnap all’attacco del ransomware
QNAP ha rilasciato una serie di patch per proteggere i suoi NAS dal ransomware Qlocker che viene installato sfruttando due vulnerabilità presenti nel sistema operativo QTS e ora risolte dall’azienda taiwanese. È necessario quindi procedere all’aggiornamento dei vari componenti interessati dal problema. Al più presto verrà fornita una soluzione per rimuovere il malware.
QNAP ha pubblicato un avviso che spiega i passi da seguire per la patch. Innanzitutto è necessario effettuare una scansione con la versione aggiornata del Malware Remover. Quindi è consigliabile cambiare la password e installare le ultime versioni di Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync.
È preferibile anche cambiare la porta di rete predefinita (8080) per l’accesso all’interfaccia web. Se i dati sono stati già cifrati, il NAS non deve essere spento.