Una nueva variedad de ransomware llamada "Qlocker" se dirige a los dispositivos de almacenamiento adjunto a la red (NAS) de QNAP como parte de una campaña en curso y encripta archivos en archivos 7zip protegido con contraseña.
Los primeros informes de las infecciones surgieron el 20 de abril, y los adversarios detrás de las operaciones exigieron un pago de bitcoin (0.01 bitcoins o alrededor de $ 500.57) para recibir la clave de descifrado.
En respuesta a los ataques en curso, la compañía taiwanesa ha publicado un aviso que solicita a los usuarios que apliquen actualizaciones al NAS de QNAP que ejecutan la Consola multimedia, el complemento de transmisión de medios y la sincronización de copia de seguridad híbrida HBS 3 para proteger los dispositivos de cualquier ataque.
"QNAP insta encarecidamente que todos los usuarios instalan de inmediato la versión más reciente Malware Remover y realizan la exploración en el QNAP NAS", la compañía dijo. "Las aplicaciones Consola multimedia, Complemento de transmisión de medios y Sincronización de copia de seguridad híbrida deben actualizarse a la última versión disponible para proteger aún más el NAS de QNAP de los ataques de ransomware".
QNAP lanzó parches para las tres aplicaciones durante la última semana. CVE-2020-36195 se refiere a una vulnerabilidad de inyección podría de SQL en el NAS de QNAP que ejecuta la Consola multimedia o el Complemento de transmisión de medios, cuya explotación exitosa resultará en la divulgación de información. Por otro lado, CVE-2021-28799 se relaciona con una vulnerabilidad de autorización incorrecta que afecta al NAS de QNAP que ejecuta HBS 3 Hybrid Backup Sync que podría ser aprovechado por un atacante para iniciar sesión en un dispositivo.
Pero parece que Qlocker no es la única variedad que se está utilizando para cifrar dispositivos NAS, ya que los actores de amenazas implementan otro ransomware llamado "eCh0raix" para bloquear datos confidenciales. Desde su debut en julio de 2019, la banda eCh0raix es conocida por perseguir los dispositivos de almacenamiento de QNAP aprovechando vulnerabilidades conocidas o llevando a cabo ataques de fuerza bruta.
QNAP también insta a los usuarios a la última versión de Malware Remover para realizar un análisis como medida de seguridad mientras trabaja activamente en una solución para eliminar el malware de los dispositivos infectados.
"Se recomienda a los usuarios que modifiquen el puerto de red predeterminado 8080 para acceder a la interfaz operativa del NAS", recomendó la empresa, y agregó que "los datos almacenados en el NAS deben ser respaldados o respaldados nuevamente utilizando la regla de respaldo 3 -2-1, garantizar la integridad y seguridad de los datos ".