Le ransomware Qlocker s’attaque massivement aux NAS QNAP

22/04/202117/07/2023 Florian BURNEL 3703 Views 4 Commentaires QNAP, Ransomware, Sécurité 1 min read

Une campagne d'attaques est actuellement en cours et elle cible directement les NAS de chez QNAP. Lorsqu'un NAS est compromis, le ransomware Qlocker est déployé pour chiffrer les données à l'intérieur d'archives 7-Zip.

Une campagne massive au niveau mondial cible les NAS QNAP : de nombreux utilisateurs ont la mauvaise surprise de découvrir leurs données chiffrées par le ransomware Qlocker. Cela fait quelques jours que la campagne est en cours et le nombre de signalements ne cesse d'augmenter. Il suffit de regarder les stats sur le site ID-Ransomware pour s'en convaincre :

Visiblement, le ransomware Qlocker s'appuie sur l'outil 7-Zip pour déplacer les données au sein d'archives 7z protégées par un mot de passe. Bien sûr, il n'y a que le hacker à l'origine de l'attaque qui connaît le mot de passe de l'archive générée. Lorsque le ransomware entre en action, de nombreux processus "7z" sont visibles au sein du moniteur de ressources QNAP. Ils correspondent à l'exécutable de 7-Zip disponible en ligne de commande.

En complément, un fichier !!!READ_ME.txt est déposé sur le NAS des victimes. Il indique les instructions pour récupérer l'accès à ses données, avec notamment une clé propre à chaque attaque à utiliser au moment du paiement de la rançon. Cette rançon s'élève à 0.01 Bitcoin, ce qui correspond à 500 euros environ.

Il faut savoir qu'il y a quelques jours, QNAP a corrigé deux vulnérabilités critiques :

CVE-2020-2509
CVE-2020-36195

La première vulnérabilité touche le système QTS directement (et QuTS Hero), tandis que la deuxième touche le paquet Multimedia Console et l'extension Media Streaming. En fait, pour cette attaque, QNAP estime que c'est la vulnérabilité CVE-2020-36195 qui est exploitée pour exécuter le ransomware sur ses NAS.

Si vous avez un NAS QNAP et qu'il est exposé sur Internet, il est fortement recommandé d'effectuer une mise à jour du système et des paquets dès que possible !

D'après le site Bleeping Computer, il est fort possible qu'il existe une solution pour récupérer ses données gratuitement. Des informations devraient être publiées à ce sujet dans les prochaines heures.

Source

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5558.Voir tous les posts

4 thoughts on “Le ransomware Qlocker s’attaque massivement aux NAS QNAP”

Beaume
23/04/2021 à 20:40
Permalink

Bonsoir,

j’ai été touché mercredi à 17 heures!!

Merci de m’indiquer dès qu’il y a une solution si il y en une!!

Bonne soirée
Erik
Répondre
coogar
25/04/2021 à 14:18
Permalink

impossible d’avoir la moindre information de la part de qnap ….
mon prochain nas sera synology !!!
Répondre
Froment
27/01/2022 à 11:15
Permalink

Pareil touché mercredi 16 h
Répondre
Luder
30/01/2022 à 16:06
Permalink

Bonjour,

Pareil, touché les 12 et 13/01/2022…
Quelqu’un a-t-il trouvé une solution pour récupérer les données ?
Répondre