Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ransomware QLocker zgarnął ~ $260.000, szyfrując urządzenia QNAP NAS 7-zipem…
Gdy mówimy o ransomware’ach, to zazwyczaj mamy na myśli ataki na duże firmy pokroju Quanta Computer, Acer czy Pekaes. Doniesienia o atakach tego typu przyćmiewają jednak zagrożenia dotyczące zwykłych użytkowników czy małych przedsiębiorstw. Jednym z takich zagrożeń jest QLocker:
W przypadku takich ataków średnia kwota okupu wynosi ~ 500 dolarów. Jego wektorem są luki CVE-2020-36195 i CVE-2021-28799 w urządzeniach QNAP NAS. Przestępcy odpowiedzialni za ataki “przyoszczędzili” również na samym złośliwym oprogramowaniu, gdyż do szyfrowania danych wykorzystali program 7-zip. To dość nietypowe podejście do samej formy ataku pozwoliło im na sporą oszczędność czasu oraz nerwów – odpadają problemy związane z czasochłonnym tworzeniem złośliwego oprogramowania, odpowiednim wdrożeniem algorytmu szyfrującego czy z omijaniem produktów antywirusowych.
Czasami proste rozwiązania są najlepsze, a kreatywność przestępców w tym przypadku zaowocowała “zyskiem” rzędu ~ 260.000$.
~ Jakub Bielaszewski
A mówili rób backupy… więc nam zaszyfrowali backupy :p
NAS to dla ciebie backup? Na swoim pierwszym (zyxel) szybko się nauczyłem że to tylko zasób którego kopię trzeba i tak zrobić. Jak mi się filesytem posypał. Od tamtej pory ważne dane mam na komputerze, kopię na NAS i kolejną na dyskach przenośnych. Synchronizacja raz na jakiś czas w celu zminimalizowania strat :-)
I najważniejsze – RAID to nie backup
Witam nawet po wgraniu aktualizacji hbs+ malware remover w w piątek, dostałem dzisiaj taką informację „Severity: Warning
Date/Time: 2021/04/26 12:06:53
App Name: Malware Remover
Category: Malware Removal
Message: [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102
na szczęście w procesach nie pokazał się 7zip wygląda na to że mi się upiekło
„
„duże firmy pokroju Quanta Computer, Acer czy Pekaes” – https://www.youtube.com/watch?v=USbrQBLWi0c . Co w tym zestawieniu robi PEKAES? Przecież to państwowy złom.
Trzeba aktualizacja na bieżąco
Jesteś geniuszem. Zarówno aktualizację NAS, jak i Malware mam ustawione automatycznie. Malware ma codziennie się aktualizować. Poprzednia aktualizacja była w lutym. Jedyne co miałem dostępne w sieci to Panel logowania, upnp wyłączone, admin wyłączony a i uprawnienia do katalogów poodbierane. Porty również zmienione. W zasadzie jedyną usługa to samba w LAN i Panel logowania oraz dostęp do usług typu files/photo/music z telefonu (do tego wystarczy dostęp do panelu sterowania – żadne dlna czy inny syf).
Dostałem małego kopniaka tylko dlatego że przypadkiem dzień po ataku wyłączyłem listwę zasilającą także proces został ubity (masa małych plików a widać że szyfrował do 20MB).
I tak nauczony doświadczeniem regularnie robię kopię danych na kilka dysków do szuflady (płyty przestały się sprawdzać jako archiwum)
I co ty na to?
Ja kilka tygodni temu stwierdziłem, że NAS podpięty na stałe do internetu mi nie jest potrzebny, po tym zresztą jak ktoś mi na admina próbował nachalnie wbijać w nocy kiedy smacznie spałem.
Wyciąłem mu DNS-y i bramę domyślną i nic się nie przypałętało.
W biurze NAS wyłączam po pracy i tyle w temacie