Une nouvelle souche de ransomware appelée « Qlocker« cible les périphériques de stockage en réseau (NAS) QNAP dans le cadre d’une campagne en cours et de crypter des fichiers dans des archives 7zip protégées par mot de passe.
Premiers rapports de la infections est apparu le 20 avril, les adversaires derrière les opérations exigeant un paiement en bitcoins (0,01 bitcoins soit environ 500,57 $) pour recevoir la clé de déchiffrement.
En réponse aux attaques en cours, la société taïwanaise a publié un avis invitant les utilisateurs à appliquer des mises à jour au NAS QNAP exécutant la console multimédia, le module complémentaire de diffusion multimédia et HBS 3 Hybrid Backup Sync pour sécuriser les appareils contre toute attaque.
« QNAP recommande vivement à tous les utilisateurs d’installer immédiatement la dernière version de Malware Remover et d’exécuter une analyse de malware sur le NAS QNAP », a déclaré la société mentionné. «La console multimédia, le module complémentaire de diffusion multimédia et les applications Hybrid Backup Sync doivent également être mis à jour avec la dernière version disponible pour sécuriser davantage le NAS QNAP contre les attaques de ransomwares.»
Des correctifs pour les trois applications ont été publiés par QNAP la semaine dernière. CVE-2020-36195 concerne une vulnérabilité d’injection SQL dans un NAS QNAP exécutant Multimedia Console ou Media Streaming Add-on, dont l’exploitation réussie pourrait entraîner la divulgation d’informations. D’autre part, CVE-2021-28799 concerne une vulnérabilité d’autorisation incorrecte affectant le NAS QNAP exécutant HBS 3 Hybrid Backup Sync qui pourrait être exploitée par un attaquant pour se connecter à un appareil.
Mais il semble que Qlocker ne soit pas la seule souche utilisée pour crypter les périphériques NAS, avec les acteurs menaçants qui déploient un autre ransomware nommé « eCh0raix« pour verrouiller les données sensibles. Depuis ses débuts en juillet 2019, le eCh0raix gang est connu pour s’attaquer aux appliances de stockage QNAP en exploitant des vulnérabilités connues ou en effectuant des attaques par force brute.
QNAP exhorte également les utilisateurs à utiliser la dernière version de Malware Remover pour effectuer une analyse par mesure de sécurité pendant qu’il travaille activement sur une solution pour supprimer les logiciels malveillants des appareils infectés.
« Les utilisateurs sont invités à modifier le port réseau par défaut 8080 pour accéder à l’interface d’exploitation du NAS », a recommandé la société, ajoutant que « les données stockées sur le NAS doivent être sauvegardées ou sauvegardées à nouveau en utilisant la règle de sauvegarde 3-2-1, pour continuer garantir l’intégrité et la sécurité des données. «
