Le ransomware Qlocker s’attaque massivement aux NAS QNAP

Une campagne d'attaques est actuellement en cours et elle cible directement les NAS de chez QNAP. Lorsqu'un NAS est compromis, le ransomware Qlocker est déployé pour chiffrer les données à l'intérieur d'archives 7-Zip.

Une campagne massive au niveau mondial cible les NAS QNAP : de nombreux utilisateurs ont la mauvaise surprise de découvrir leurs données chiffrées par le ransomware Qlocker. Cela fait quelques jours que la campagne est en cours et le nombre de signalements ne cesse d'augmenter. Il suffit de regarder les stats sur le site ID-Ransomware pour s'en convaincre :

QNAP Qlocker

Visiblement, le ransomware Qlocker s'appuie sur l'outil 7-Zip pour déplacer les données au sein d'archives 7z protégées par un mot de passe. Bien sûr, il n'y a que le hacker à l'origine de l'attaque qui connaît le mot de passe de l'archive générée. Lorsque le ransomware entre en action, de nombreux processus "7z" sont visibles au sein du moniteur de ressources QNAP. Ils correspondent à l'exécutable de 7-Zip disponible en ligne de commande.

En complément, un fichier !!!READ_ME.txt est déposé sur le NAS des victimes. Il indique les instructions pour récupérer l'accès à ses données, avec notamment une clé propre à chaque attaque à utiliser au moment du paiement de la rançon. Cette rançon s'élève à 0.01 Bitcoin, ce qui correspond à 500 euros environ.

QNAP Qlocker

Il faut savoir qu'il y a quelques jours, QNAP a corrigé deux vulnérabilités critiques :

  • CVE-2020-2509
  • CVE-2020-36195

La première vulnérabilité touche le système QTS directement (et QuTS Hero), tandis que la deuxième touche le paquet Multimedia Console et l'extension Media Streaming. En fait, pour cette attaque, QNAP estime que c'est la vulnérabilité CVE-2020-36195 qui est exploitée pour exécuter le ransomware sur ses NAS.

Si vous avez un NAS QNAP et qu'il est exposé sur Internet, il est fortement recommandé d'effectuer une mise à jour du système et des paquets dès que possible !

D'après le site Bleeping Computer, il est fort possible qu'il existe une solution pour récupérer ses données gratuitement. Des informations devraient être publiées à ce sujet dans les prochaines heures.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 2962 articlesVoir toutes les publications de cet auteur

2 thoughts on “Le ransomware Qlocker s’attaque massivement aux NAS QNAP

  • Bonsoir,

    j’ai été touché mercredi à 17 heures!!

    Merci de m’indiquer dès qu’il y a une solution si il y en une!!

    Bonne soirée
    Erik

    Répondre
  • impossible d’avoir la moindre information de la part de qnap ….
    mon prochain nas sera synology !!!

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.