Ataque ransomware Qlocker masivo utiliza 7zip para cifrar dispositivos QNAP

Una campaña ransomware masiva dirigido a dispositivos QNAP en todo el mundo está en marcha, y los usuarios están encontrando sus archivos ahora almacenados en archivos 7zip protegidos con contraseña.

El ransomware se llama Qlocker y comenzó a dirigirse a los dispositivos QNAP el 19 de abril de 2021. Desde entonces, ha habido una enorme cantidad de actividad en nuestro foro de apoyo, y ID-Ransomware ha visto un aumento de las presentaciones de las víctimas.

De acuerdo con los informes de las víctimas en un tema de  soporte de BleepingComputer Qlocker , los atacantes utilizan 7-zip para mover archivos en dispositivos QNAP a archivos protegidos con contraseña. Mientras se bloquean los archivos, el Monitor de recursos de QNAP mostrará numerosos procesos '7z' que son ejecutables en la línea de comandos 7zip. 

Cuando el ransomware ha terminado, los archivos del dispositivo QNAP se almacenarán en archivos 7-zip protegidos con contraseña que terminan con la extensión .7z.  Para extraer  estos archivos,  las víctimas tendrán que introducir una  contraseña conocida sólo por el  atacante.

Después de que los dispositivos  QNAP  se cifran,    los usuarios  se  quedan  con  un  !!! READ_ME.txt  nota  de rescate que  incluye una clave de cliente única  que  las  víctimas  necesitan entrar para iniciar sesión  en  el sitio de pago  Tor  del ransomware. 

De las  notas de rescate Qlocker vistos  por  BleepingComputer, todas  las víctimas  se les dice  que  pagar  0.01 Bitcoins,  que  es  aproximadamente $ 557.74, para  obtener  una  contraseña  para  sus archivos archivados.

QNAP cree  que  están  utilizando  vulnerabilidad  reciente

Recientemente QNAP  resolvió  vulnerabilidades  críticas  que  podrían  permitir a un  actor remoto obtener acceso  completo a un  dispositivo  y  ejecutar  ransomware.

QNAP corrigió estas dos vulnerabilidades el 16 de abril con las siguientes descripciones:

QNAP le dijo a BleepingComputer que creen Qlocker explota la vulnerabilidad CVE-2020-36195 para ejecutar el ransomware en dispositivos vulnerables.

Debido a esto, se recomienda encarecidamente actualizar QTS, consola multimedia y el complemento de streaming multimedia a las últimas versiones.

 

Fuente: www.bleepingcomputer.com