QRescue    Reakcja na ataki Qlocker    Pytania i odpowiedzi

 

 

 

W ostatnim czasie ransomware pod nazwą Qlocker przeprowadził kampanię ataków wymierzoną w serwery NAS QNAP, która spowodowała niedogodności i doprowadziła do utraty danych u naszych użytkowników. Zdajemy sobie sprawę, że użytkownicy są bardzo zaniepokojeni tym incydentem. Naszym głównym priorytetem od zawsze jest szybkie wprowadzanie poprawek rozwiązujących problemy w oprogramowaniu i publikowanie stosownych informacji. Staramy się też realizować nasze zobowiązanie i dokładamy starań w celu ciągłego ulepszania funkcji zabezpieczeń oferowanych przez nasze produkty. Chcielibyśmy, aby nasi użytkownicy uczestniczyli wraz z nami w działaniach polegających na zwalczaniu ransomware, ponieważ dzięki temu Internet będzie bezpieczniejszy.

Opis incydentu

16 kwietnia 2021 r. wydaliśmy zaktualizowaną wersję (16.0.0415) aplikacji Hybrid Backup Sync (HBS), w której dodaliśmy nowe funkcje i rozwiązaliśmy pewne problemy z zabezpieczeniami opisane w oficjalnym komunikacie QNAP QSA-21-13. 21 kwietnia zaczęliśmy otrzymywać od użytkowników zgłoszenia dotyczące potencjalnych ataków z użyciem ransomware. Po przeprowadzeniu dochodzenia okazało się, że ransomwareQlocker wykorzystuje jedną z naprawionych luk w zabezpieczeniach aplikacji HBS, atakując niezaktualizowane serwery NAS QNAP mające bezpośrednie połączenie z Internetem.

Cyberprzestępcy wykorzystali naprawioną lukę w zabezpieczeniach aplikacji HBS. Wykorzystując lukę, szkodliwe oprogramowanie uzyskiwało nieprawidłowy poziom uprawnień na atakowanym serwerze NAS QNAP. Po naruszeniu zabezpieczeń serwera NAS cyberprzestępcy wgrywali do systemu szkodliwy kod, który usuwał wszystkie migawki, kompresował pliki użytkownika i blokował je hasłem, korzystając z wbudowanego narzędzia 7-Zip służącego do normalnych operacji kompresji i dekompresji plików. Po rozpoczęciu szyfrowania Qlocker zostawia żądanie okupu i usuwa swój kod, utrudniając dodatkowo dochodzenie.

Korzystając z ograniczonych informacji, które zebraliśmy na podstawie pierwszych zgłoszeń, zaktualizowaliśmy reguły wykrywania w aplikacji QNAP NAS Malware Remover, które pomagają wykrywać i powstrzymywać działania szkodliwego oprogramowania. Dodaliśmy także krótkie skrypty mające podejmować próby wyodrębnienia klucza szyfrowania, gdy trwa jeszcze proces kompresji.

Następnie 22 kwietnia opublikowaliśmy artykuł Product Security News, w którym zdecydowanie zachęcaliśmy naszych użytkowników do zainstalowania nowych aktualizacji jeszcze przed potwierdzeniem rzeczywistej ścieżki ataku. Gdy zidentyfikowaliśmy wektor ataku, ponownie zaktualizowaliśmy reguły aplikacji MalwareRemover, tak aby kod aplikacji HBS niezaktualizowanych serwerów NAS QNAP był poddawany kwarantannie.

Objawy

• Nastąpiła infekcja, ale oprogramowanie nie jest jeszcze aktywne
  
  1. Na serwerach NAS QNAP zainfekowanych oprogramowaniem Qlocker nie występują żadne nienormalne działania.
• Oprogramowanie jest aktywne (trwa szyfrowanie)
  
  1. Jeśli oprogramowanie Qlocker jest aktywne (trwa szyfrowanie/kompresja), rozszerzenia nazw zaszyfrowanych plików użytkownika zmieniają się na „.7z”. Można to też poznać po tym, że proces 7z w Monitorze zasobów zużywa nienormalną ilość zasobów systemowych.
• Oprogramowanie zakończyło działanie (po szyfrowaniu)
  
  1. Gdy oprogramowanie Qlocker zakończy szkodliwe działanie (po zakończeniu szyfrowania/kompresji), wszystkie pliki użytkownika (o rozmiarze mniejszym niż 20 MB) będą miały rozszerzenie „.7z”. Na serwerze NAS QNAP zostanie też wygenerowane żądanie okupu (w formacie zwykłego tekstu).

Kalendarium naszych reakcji na ataki Qlocker

• piątek, 19 marca 2021 r.
  
  1. Otrzymaliśmy zgłoszenie o problemie z zabezpieczeniami aplikacji HBS.
• piątek, 16 kwietnia 2021 r.
  
  1. Wydaliśmy poprawioną wersję aplikacji HBS. Aby chronić użytkowników, którzy jeszcze nie zastosowali aktualizacji, zmieniliśmy czas wydania oficjalnego komunikatu informacyjnego.
• środa, 21 kwietnia 2021 r.
  
  1. Zaczęliśmy otrzymywać od użytkowników zgłoszenia dotyczące ataków z użyciem ransomware. Natychmiast rozpoczęliśmy dochodzenie.
• czwartek, 22 kwietnia 2021 r.
  
  1. Zaktualizowaliśmy reguły wykrywania w aplikacji Malware Remover, aby zatrzymać szyfrowanie/kompresowanie plików przez oprogramowanie Qlocker. Tego samego dnia opublikowaliśmy też artykuł Product Security News i odpowiedni komunikat informacyjny.
• Od 23 do 25 kwietnia 2021 r.
  
  1. Personel pomocy technicznej QNAP na całym świecie bez przerwy pracował z użytkownikami, którzy padli ofiarą ataku, testując i czyszcząc oprogramowanie Qlocker oraz starając się pomóc wszystkimi możliwymi sposobami.
• poniedziałek, 26 kwietnia 2021 r.
  
  1. Dodaliśmy nową regułę wykrywania w aplikacji MalwareRemover, która poddawała kwarantannie kod aplikacji HBS zmodyfikowany przez Qlockerw przypadku niezaktualizowanych serwerów NAS QNAP.

Jak działa skanowanie aplikacji Malware Remover

• Uruchomienie skanowania przez aplikację Malware Remover serwera NAS QNAP zainfekowanego oprogramowaniem Qlocker (które nie jest jeszcze aktywne) powoduje wyczyszczenie szkodliwego kodu. W przypadku wykrycia nienaprawionej wersji aplikacji HBS jej kod także zostanie usunięty.
• Uruchomienie skanowania przez aplikację Malware Remover serwera NAS QNAP z aktywnym oprogramowaniem Qlocker (trwa szyfrowanie/kompresja) powoduje zatrzymanie szyfrowania/kompresji. W ramach skanowania zostanie też podjęta próba wyodrębnienia klucza szyfrowania użytego do ataku. W przypadku wykrycia nienaprawionej wersji aplikacji HBS jej kod także zostanie usunięty.
• Uruchomienie skanowania przez aplikację Malware Remover serwera NAS QNAP po ataku oprogramowania Qlocker (po zakończeniu szyfrowania/kompresji) powoduje usunięcie kodu nienaprawionej wersji aplikacji HBS (o ile zostanie ona wykryta).

Wszystkie działania wykonywane przez aplikację Malware Remover zostaną odnotowane w odpowiednim dzienniku zdarzeń systemowych.

Co może zrobić użytkownik w związku z atakiem Qlocker

Zdecydowanie zalecamy, aby wszyscy użytkownicy przeprowadzili ręczne skanowanie w aplikacji Malware Remover, gdy serwer NAS QNAP jest podłączony do Internetu. Aplikacja Malware Remover zaktualizuje swoje reguły wykrywania do najnowszej wersji, a następnie sprawdzi, czy serwer NAS QNAP padł ofiarą ataku ransomware Qlocker i czy wykorzystano lukę w zabezpieczeniach poprawionej aplikacji HBS.

Należy też pamiętać, że całościowe bezpieczeństwo systemu zależy od metody połączenia serwera NAS QNAP z Internetem. Aby zachować bezpieczeństwo, należy postępować zgodnie z ogólnymi zaleceniami wymienionymi w następnej sekcji.

Ponadto:

• Szyfrowanie/kompresowanie jest aktywne lub się zakończyło
  
  1. Jeśli serwer NAS QNAP padł ofiarą ataku Qlocker, nie należy go wyłączać ani uruchamiać ponownie — bez względu na status szyfrowania/kompresji. Nie wolno także aktualizować systemu operacyjnego serwera NAS. Należy uruchomić wspomniane wyżej skanowanie przez aplikację Malware Remover i natychmiast skontaktować się z pomocą techniczną QNAP. Przeprowadzimy inspekcję serwera NAS QNAP i sprawdzimy, czy uda się odzyskać pliki.
• Nastąpiła infekcja, ale oprogramowanie nie jest jeszcze aktywne
  
  1. Jeśli aplikacja Malware Remover wykryje oprogramowanie Qlocker i wyczyści je z serwera NAS QNAP, zanim nastąpi modyfikacja plików, należy niezwłocznie podjąć działania wymienione w sekcji zaleceń ogólnych, aby zwiększyć bezpieczeństwo serwera NAS.
• Brak infekcji
  
  1. Jeśli aplikacja Malware Remover nie wykryje oprogramowania Qlocker na serwerze NAS QNAP, i tak należy niezwłocznie podjąć działania wymienione w sekcji zaleceń ogólnych, aby zwiększyć bezpieczeństwo serwera NAS.

Zalecenia ogólne

Zalecamy, aby w celu połączenia serwera NAS QNAP z Internetem użytkownicy korzystali z funkcji myQNAPcloud Link udostępnionej przez QNAP. Aktywacja funkcji myQNAPcloud Link nie wymaga żadnych skomplikowanych czynności konfiguracyjnych. W przypadku pozostałych użytkowników zdecydowanie zalecamy, aby serwery NAS QNAP nie miały bezpośredniego połączenia z Internetem. Pozwoli to poprawić bezpieczeństwo serwerów NAS QNAP. Zalecamy włączenie usługi serwera VPN na routerze. Aby połączyć serwer NAS QNAP z Internetem, konieczne będzie wtedy nawiązanie połączenia VPN z routerem, a następnie nawiązanie połączenia z serwerem NAS QNAP przez VPN. Pomoże to znacząco wzmocnić zabezpieczenia serwera NAS i zmniejszy ryzyko ataku. Szczegółowe informacje można znaleźć w artykule na blogu QNAP: https://blog.qnap.com/nas-internet-connect-en/

Staramy się aktywnie rozszerzać zakres naszego dochodzenia, ale musi ono jeszcze trochę potrwać. Tymczasem użytkownicy mogą wykonać pewne czynności w celu lepszego zabezpieczenia swoich serwerów NAS QNAP przed cyberatakami. Są to m.in.:

• Włączenie automatycznych aktualizacji lub okresowe ręczne sprawdzanie dostępności aktualizacji systemu operacyjnego i aplikacji.
• Archiwizowanie plików przechowywanych na serwerze NAS QNAP zgodnie ze strategią kopii zapasowych 3-2-1.
  
  1. Uwaga: W przypadku przechowywania jedynej kopii plików na serwerze NAS QNAP, nawet jeśli włączone są funkcje ochrony danych, takie jak RAID czy migawki, dane nie są chronione przed wszystkimi możliwymi zagrożeniami. Funkcja RAID chroni tylko przed awariami dysków, a migawki zapewniają ochronę przed atakami z użyciem ransomware z poziomu komputera użytkownika. Aby mieć pewność, że pliki są bezpieczne i nienaruszone, należy wykonać kopię zapasową danych NAS lub zarchiwizować plik kopii zapasowej przechowywanej na serwerze NAS QNAP.
• Zalecenia dotyczące ustawień zabezpieczeń pozwalających zwiększyć poziom bezpieczeństwa serwera NAS można znaleźć w drugiej części tego artykułu na blogu QNAP: https://blog.qnap.com/nas-internet-connect-en/
• Należy założyć konto QNAP ID i zasubskrybować komunikaty informacyjne, aby otrzymywać informacje o najnowszych aktualizacjach zabezpieczeń: https://account.qnap.com/

Podziękowania

Chcieliśmy skorzystać z okazji i podziękować tajwańskiej firmie ZUSO za zgłoszenie problemu i pomoc w opracowaniu strategii reakcji na ten incydent. Będziemy nadal współpracować z ZUSO i innymi firmami/zespołami zajmującymi się zabezpieczeniami, aby poprawić poziom bezpieczeństwa i ochrony wszystkich produktów QNAP.