Domowy dysk sieciowy NAS ma nie tylko ułatwiać nam wymianę dysków pomiędzy urządzeniami, ale również zwiększać bezpieczeństwo ich przechowywania. Niestety popularne marki takich rozwiązań są również stałym celem ataków. Ostatnio przekonali się o tym posiadacze urządzeń firmy QNAP. Jeżeli nie zainstalowali oni najnowszej aktualizacji oprogramowania, to ich dane mogły zostać zaszyfrowane za pomocą robaka QLOCKER.
Pierwsze przypadki ataku z użyciem ransomware QLOCKER pojawiły się w okolicy środy zeszłego tygodnia. Posiadacze urządzeń NAS firmy QNAP zauważyli, że ich dane zostały przeniesionych do zaszyfrowanych archiwów 7zip (rozszerzenie 7z). Oprócz tego pojawiła się wiadomość od przestępców, którzy w pliku !!!READ_ME.txt napisali:
Co ciekawe przestępcy celowo zażądali dość niskiej opłaty za odszyfrowanie plików. Opłata za klucz deszyfrujący wynosi 0,01 bitcoin-a, czyli około 2 tys. zł.!!! All your files have been encrypted !!!
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at “https://www.torproject.org/”. If you need help, please Google for “access onion page”.
2. Visit the following pages with the Tor Browser:
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion3. Enter your Client Key:
[client_key]
Przeczytaj również: Atak hakerski w urzędzie Gminy Kościerzyna, hakerzy zaszyfrowali wszystkie dane
QLOCKER wykorzystał znaną lukę w dyskach NAS firmy QNAP
Generalnie specjaliści od bezpieczeństwa odradzają płacenia cyberprzestępcą. Wynika to z tego, że wiele razy atakujący przygotowali w taki sposób swoje robaki, że nie pozwalał on na identyfikację ofiary i przekazanie jej odpowiedniego klucza deszyfrującego. Tym razem było inaczej. Co ciekawe na samym początku ataku zawierał on błąd, który pozwalał na uzyskanie klucza do deszyfracji plików innych osób. Udało się w ten sposób odzyskać dane należące do około 50 osób.
Update: it looks like this may have been fixed by the ransomware operators, unfortunately. I apologize if I was not able to get to yours before it was fixed. In total decrypted around 50 keys worth $27k.
— Jack Cable (@jackhcable) 22 kwietnia 2021
Firma QNAP podała również instrukcję, która pozwalała na odzyskanie danych bez płacenia okupu. Jednak można z niej skorzystać jedynie w momencie trwania ataku (tj. szyfrowania plików). Samo rozwiązanie odkrył Jack Cable, a na YouTube pojawiły się nagrania, które mogły się okazać pomocne dla mniej zaawansowanych użytkowników.
Okazało się, że dość spora osób zdecydowała na zapłacenie okupu. Serwis BleepingComputer prześledził 20 adresów Bitcoin, z których skorzystali cyberprzestępcy. Łącznie zebrali około 5.26 BTC, czyli około 1 mln zł.
Jest to nauczka dla wszystkich użytkowników domowych dysków sieciowych, którzy przekładają wygodę nad bezpieczeństwo cennych danych. Jeżeli korzystacie z popularnych rozwiązań, to musicie brać pod uwagę to, że odkrytymi w nich lukami interesuje się spora grupa cyberprzestępców. QLOCKER skorzystał z podatności CVE-2021-28799.
