www.belgium.be Logo of the federal government

Ransomware operators actively targeting vulnerable QNAP NAS appliances

Referentie: 
Advisory #2021-009
Versie: 
1.0
Geïmpacteerde software: 
QNAP NAS appliances met HBS 3 Hybrid Backup Sync
QNAP NAS met Multimedia Console of de Media Streaming add-on
Type: 
Improper Authorization , SQL Injection
CVE/CVSS: 
CVE-2020-36195
CVE-2021-28799

Bronnen

Risico’s

Ransomware operatoren viseren kwetsbare QNAP apparaten sinds 19 april 2021.
 

Beschrijving

De hacker groepen gebruiken de volgende tactieken, technieken en procedures.
 
De aanvaller archiveert de bestanden van het kwetsbaar apparaat in een 7Zip archief en beveiligt dit archief met een wachtwoord.
Zonder het wachtwoord zijn de bestanden onleesbaar voor het slachtoffer. Het wachtwoord is uniek per slachtoffer.
 
Nadat de bestanden zijn versleuteld, verschijnt er een "!!!READ_ME.txt" ransomnote met instructies om in te loggen op de Tor betaalsite van de ransomware.

 

Aanbevolen acties

Het CCB raadt alle gebruikers aan om onmiddellijk de laatste versie van Malware Remover te installeren, en een malware scan uit te voeren op kwetsbare QNAP NAS apparaten. 
 
Het CCB raadt alle gebruikers aan om de Multimedia Console, Media Streaming Add-on, en Hybrid Backup Sync apps up te daten naar de laatste beschikbare versie.
 
Het CCB raadt aan om de data van de NAS te backuppen aan de hand van de de 3-2-1 back-up regel.
 
QNAP werkt aan een oplossing om de malware te verwijderen van de geïnfecteerde apparaten.
QNAP waarschuwt dat als de bestanden van een apparaat al versleuteld zijn, Onmiddellijk de malwarescanner moeten uitvoeren in plaats van het apparaat te rebooten.
 
Slachtoffers kunnen contact opnemen met de technische ondersteuning van QNAP ophttps://service.qnap.com/
 

Referenties

https://therecord.media/new-qlocker-ransomware-is-hitting-hundreds-of-qn...