www.belgium.be Logo of the federal government

Ransomware operators actively targetting vulnerable QNAP NAS appliances

Référence: 
Advisory #2021-009
Version: 
1.0
Logiciels concernés : 
Les appareils NAS QNAP utilisant HBS 3 Hybrid Backup Sync
Les appareils NAS QNAP exécutant Multimedia Console ou le module complémentaire Media Streaming
Type: 
Autorisation incorrecte, Injection SQL
CVE/CVSS: 
CVE-2020-36195
CVE-2021-28799

Sources

Risques

Les opérateurs de ransomware ciblent activement les appareils QNAP vulnérables depuis le 19 avril 2021.

Description

Les acteurs malveillants utilisent les tactiques, techniques et procédures suivantes :

L'acteur malveillant exploite le dispositif vulnérable et extrait les fichiers du système vulnérable dans des archives protégées par un mot de passe se terminant par l'extension 7.z. Sans le mot de passe, les fichiers sont illisibles pour la victime. Ce mot de passe est unique à la victime en question et ne peut être utilisé sur les appareils d'autres victimes.

Une fois les appareils QNAP chiffrés, les utilisateurs se retrouvent avec une note de rançon "!!!READ_ME.txt" qui comprend une clé client unique que les victimes doivent saisir pour se connecter au site de paiement Tor du ransomware.

 

Actions recommandées

Le CCB recommande à tous les utilisateurs d'installer immédiatement la dernière version du logiciel Malware Remover et de lancer une recherche de malware sur les appareils NAS de QNAP vulnérables. 

Le CCB recommande de mettre à jour les applications Multimedia Console, Media Streaming Add-on et Hybrid Backup Sync à la dernière version disponible afin de mieux protéger les NAS de QNAP contre les attaques de ransomware. 

Idéalement, les données stockées sur le NAS doivent être sauvegardées ou re-sauvegardées en utilisant la règle de sauvegarde 3-2-1, afin de garantir davantage l'intégrité et la sécurité des données.

Le constructeur, QNAP, travaille de toute urgence sur une solution pour supprimer les logiciels malveillants des appareils infectés. Il prévient également que si les fichiers d'un appareil ont déjà été chiffrés, il ne faut pas redémarrer l'appareil et lancer immédiatement le scanner de logiciels malveillants.

Les victimes peuvent contacter le support technique de QNAP à l'adresse https://service.qnap.com/

Références

https://therecord.media/new-qlocker-ransomware-is-hitting-hundreds-of-qn...