Le rançongiciel Qlocker revient pour cibler les appareils NAS QNAP dans le monde entier

New Qlocker ransomware campaign targets QNAP NAS devices worldwide

Les acteurs de la menace à l’origine du rançongiciel Qlocker ciblent une fois de plus les périphériques de stockage en réseau QNAP (NAS) exposés à Internet dans le monde entier.

Qlocker a précédemment ciblé les clients de QNAP dans une campagne massive de ransomwares qui a débuté la semaine du 19 avril, déplaçant les fichiers des victimes dans des archives 7-zip protégées par mot de passe avec l’extension .7z après avoir violé leurs appareils NAS.

QNAP a averti que les attaquants exploitaient la vulnérabilité des informations d’identification codées en dur CVE-2021-28799 dans l’application HBS 3 Hybrid Backup Sync pour pirater les appareils des utilisateurs et verrouiller leurs fichiers.

Cependant, pour certains clients de QNAP ciblés par la campagne de ransomware Qlocker de l’année dernière, l’avertissement est arrivé bien trop tard après que les attaquants aient extorqué des centaines d’utilisateurs de QNAP.

Au total, les utilisateurs de QNAP concernés ont perdu environ 350 000 dollars en un mois après avoir payé des rançons de 0,01 bitcoin (d’une valeur d’environ 500 dollars à l’époque) pour obtenir le mot de passe nécessaire à la récupération de leurs données.

Qlocker revient dans la nouvelle campagne 2022

La nouvelle campagne de rançongiciel Qlocker a débuté le 6 janvier et dépose des notes de rançon nommées !!!READ_ME.txt sur les appareils compromis.

Note de rançon Qlocker
Note de rançon Qlocker (EZpublish-france.fr)

Ces notes de rançon incluent également l’adresse du site Tor (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.oignon) les victimes sont invitées à se rendre sur place pour obtenir plus d’informations sur le montant qu’elles devront payer pour retrouver l’accès à leur dossier.

Les pages de victimes de Tor vues par EZpublish-france.fr depuis le début de cette nouvelle série d’attaques Qlocker affichent des demandes de rançon comprises entre 0,02 et 0,03 bitcoins.

Site Qlocker Tor
Site Qlocker Tor (EZpublish-france.fr)

Vous trouverez plus d’informations sur ce qu’il faut faire si la campagne de rançongiciel QLocker2 vous a touché dans cette rubrique d’assistance (la rubrique de la campagne Qlocker 2021 peut être trouvée ici).

Vous pouvez également consulter l’ancien guide sur la façon de récupérer les données des périphériques NAS compromis lors des attaques de ransomware Qlocker de l’année dernière.

Depuis le retour de Qlocker le 6 janvier, des dizaines de notes de rançon et de fichiers cryptés ont été soumis au service ID-Ransomware par les utilisateurs QNAP concernés.

Campagne de rançongiciel Qlocker2
Campagne de ransomware Qlocker2 (ID-Ransomware)

Malheureusement, Qlocker n’est pas le seul ransomware ciblant les appareils NAS QNAP, comme le montre une vague d’attaques de ransomware ech0raix qui a commencé juste avant Noël.

Plus tôt ce mois-ci, la société a également averti ses clients de protéger les appareils NAS exposés à Internet contre les ransomwares et les attaques par force brute en désactivant la redirection de port sur leurs routeurs et la fonction UPnP de leurs appareils.

QNAP a également averti ses clients l’année dernière de sécuriser leurs appareils contre les attaques entrantes, y compris les campagnes de rançongiciels Agelocker et eCh0raix.

Le fabricant du NAS recommande de mettre en œuvre les éléments suivants les meilleures pratiques si vous souhaitez protéger votre appareil QNAP contre d’autres attaques.