Ransomware-aanval op een verouderde NAS
Er is een massale ransomware-campagne gaande die gerucht is op apparaten van QNAP wereldwijd, en gebruikers vinden hun bestanden nu opgeslagen in 7zip-archieven die met een wachtwoord zijn beveiligd.

De ransomware heet Qlocker en begon QNAP-apparaten te viseren op 19 april 2021. De aanvallers gebruiken 7-zip om bestanden op QNAP-apparaten te verplaatsen naar met een wachtwoord beveiligde archieven.

Wanneer de ransomware klaar is, worden de bestanden van het QNAP-apparaat opgeslagen in met een wachtwoord beveiligde 7-zip-archieven die eindigen met de extensie .7z. Om deze archieven uit te pakken, moeten slachtoffers en wachtwoord kopen dat alleen bekend is bij de aanvaller, met behulp van Bitcoins. 




Dit is het bericht dat aan de slachtoffers wordt betoond:

!!! All your files have been encrypted !!!
 
All your files were encrypted using a private and unique key generated 
for the computer. This key is stored in our server and the only way to 
receive your key and decrypt your files is making a Bitcoin payment.
 
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at "https://www.torproject.org/". 
If you need help, please Google for "access onion page".
2. Visit the following pages with the Tor Browser: [address].onion
3. Enter your Client Key: [client_key]

U kunt regelmatig bijgewerkte informatie over de ransomware en de mogelijke oplossing lezen op het BleepingComputer blog artikel  hier.

De grootste kwetsbaarheid van systemen zoals QNAP is dat wanneer ze worden blootgesteld aan het internet, via de router of directie configuratie, er een mogelijkheid is van volledige root toegang voor de exploitanten, die in dit geval de commandoregel van een bestandscompressie tool gebruikten om de bestanden op de apparaten te versleutelen.


Het Amber-apparaat is niet zomaar een oude NAS, het is een Cloud NAS die is gemaakt om regelmatig vanaf het internet te worden blootgesteld en gebruikt, met een volledig beveiligde laag voor gebruikersgegevens die elke ongewenste bewerking van het bestandssysteem van het apparaat voorkomt.

Deze extra beveiligingslaag wordt afgedwongen door het cloud token-verificatieproces, dat ervoor zorgt dat alleen geautoriseerde gebruikers toegang hebben tot of zelfs maar een deel kunnen zien van de gegevens op de Amber.

Bovendien draaien onze applicaties in volledig gescheiden docker-containers, die in geval van beveiligingsproblemen veilig kunnen worden gestopt en geen toegang hebben tot de privégegevens van gebruikers zonder de juiste authenticatie.

De gebruikers kunnen ok de toegang tot prive-bestanden volledig aanpassen met unieke read only vergunningen om bestanden van afstand te visualiseren die elke wijziging voorkomen en toegangslinks die verlopen nadat ze zijn gebruikt.

De beveiliging en veiligheid van de door onze gebruikers opgeslagen gegevens is onze hoogste prioriteit en elk aspect van het apparaat is ontwikkeld met dat in gedachten.

Facebook-datalek en bezorgdheid over privacy
De kwetsbaarheid van een van's werelds grootste datapools