Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ransomware QLocker zgarnął ~ $260.000, szyfrując urządzenia QNAP NAS 7-zipem…

26 kwietnia 2021, 10:54 | W biegu | komentarzy 8

Gdy mówimy o ransomware’ach, to zazwyczaj mamy na myśli ataki na duże firmy pokroju Quanta Computer, Acer czy Pekaes. Doniesienia o atakach tego typu przyćmiewają jednak zagrożenia dotyczące zwykłych użytkowników czy małych przedsiębiorstw. Jednym z takich zagrożeń jest QLocker:

W przypadku takich ataków średnia kwota okupu wynosi ~ 500 dolarów. Jego wektorem są luki CVE-2020-36195 i CVE-2021-28799 w urządzeniach QNAP NAS. Przestępcy odpowiedzialni za ataki “przyoszczędzili” również na samym złośliwym oprogramowaniu, gdyż do szyfrowania danych wykorzystali program 7-zip. To dość nietypowe podejście do samej formy ataku pozwoliło im na sporą  oszczędność czasu oraz nerwów – odpadają problemy związane z czasochłonnym tworzeniem złośliwego oprogramowania, odpowiednim wdrożeniem algorytmu szyfrującego czy z omijaniem  produktów antywirusowych.

Czasami proste rozwiązania są najlepsze, a kreatywność przestępców w tym przypadku zaowocowała “zyskiem” rzędu ~ 260.000$.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. jan

    A mówili rób backupy… więc nam zaszyfrowali backupy :p

    Odpowiedz
    • Marek

      NAS to dla ciebie backup? Na swoim pierwszym (zyxel) szybko się nauczyłem że to tylko zasób którego kopię trzeba i tak zrobić. Jak mi się filesytem posypał. Od tamtej pory ważne dane mam na komputerze, kopię na NAS i kolejną na dyskach przenośnych. Synchronizacja raz na jakiś czas w celu zminimalizowania strat :-)
      I najważniejsze – RAID to nie backup

      Odpowiedz
  2. Aleksander

    Witam nawet po wgraniu aktualizacji hbs+ malware remover w w piątek, dostałem dzisiaj taką informację „Severity: Warning
    Date/Time: 2021/04/26 12:06:53

    App Name: Malware Remover
    Category: Malware Removal
    Message: [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102
    na szczęście w procesach nie pokazał się 7zip wygląda na to że mi się upiekło

    Odpowiedz
  3. John Sharkrat
    Odpowiedz
  4. Trzeba aktualizacja na bieżąco

    Odpowiedz
    • Marek

      Jesteś geniuszem. Zarówno aktualizację NAS, jak i Malware mam ustawione automatycznie. Malware ma codziennie się aktualizować. Poprzednia aktualizacja była w lutym. Jedyne co miałem dostępne w sieci to Panel logowania, upnp wyłączone, admin wyłączony a i uprawnienia do katalogów poodbierane. Porty również zmienione. W zasadzie jedyną usługa to samba w LAN i Panel logowania oraz dostęp do usług typu files/photo/music z telefonu (do tego wystarczy dostęp do panelu sterowania – żadne dlna czy inny syf).
      Dostałem małego kopniaka tylko dlatego że przypadkiem dzień po ataku wyłączyłem listwę zasilającą także proces został ubity (masa małych plików a widać że szyfrował do 20MB).
      I tak nauczony doświadczeniem regularnie robię kopię danych na kilka dysków do szuflady (płyty przestały się sprawdzać jako archiwum)
      I co ty na to?

      Odpowiedz
  5. Edeq

    Ja kilka tygodni temu stwierdziłem, że NAS podpięty na stałe do internetu mi nie jest potrzebny, po tym zresztą jak ktoś mi na admina próbował nachalnie wbijać w nocy kiedy smacznie spałem.
    Wyciąłem mu DNS-y i bramę domyślną i nic się nie przypałętało.

    Odpowiedz
  6. W biurze NAS wyłączam po pracy i tyle w temacie

    Odpowiedz

Odpowiedz