Cabecera-v2-web.jpg

Nueva serie de ataques del ransomware “Qlocker” a dispositivos QNAP NAS


17/01/2021

‎Los atacantes detrás del ransomware Qlocker han iniciado una nueva campaña contra a los dispositivos de almacenamiento conectado a la red (NAS) QNAP expuestos a Internet a nivel mundial, explotando una vulnerabilidad de incorrecta autorización.‎

‎La primera campaña de ataques de Qlocker que afectó a cientos de dispositivos QNAP, había iniciado a mediados de abril del 2021. El ransomware una vez vulnerado el dispositivo NAS, procedió a ‎mover los archivos de las víctimas dentro de archivos 7-zip protegidos con contraseña con la extensión .7z. El fabricante QNAP ‎advirtió en aquél entonces que los atacantes estaban ‎‎explotando la vulnerabilidad de credenciales codificadas (CVE-2021-28799‎‎) en la aplicación HBS 3 Hybrid Backup Sync para acceder a los dispositivos de los usuarios y bloquear sus archivos utilizando una cuenta backdoor.‎

En esta nueva campaña de Qlocker2 que inició el 6 de enero del 022, existe la posibilidad de que sea explotada la misma vulnerabilidad o que haya sido modificado el código del ransomware. ‎El programa deja notas de rescate con el nombre !!!READ_ME.txt en los dispositivos comprometidos, luego de haber cifrado la mayor cantidad de archivos posible‎.

Aparentemente todas las versiones de QNAP NAS serían vulnerables, sin embargo, QNAP recomienda para mitigar la situación instalar las últimas actualizaciones proveídas por ellos de forma oficial, implementar las mejores prácticas de seguridad y ejecutar un escaneo de la herramienta NAS QNAP Malware Remover para detectar y detener las actividades de malware.

Finalmente, en caso de haber sido víctima del malware, QNAP ofrece la siguiente guía de rescate de archivos que podría serle de ayuda:

Además, es importante realizar periódicamente copias de seguridad. Guardándolas en ubicaciones diferentes. Verificar que se han realizado correctamente y asegurarse que toda la información pueda ser recuperada. De esta forma, en el caso de un incidente, se podría recuperar la actividad de la organización afectada de una forma ágil.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11