Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Actualizaciones de seguridad graves e importantes para QNAP: ransomware QLocker


Un ataque ransomware a QNAP está cifrando (mediante contraseña con 7-Zip) los NAS de los usuarios y pide un rescate para recuperar los archivos. QNAP elimina la cuenta de puerta trasera (backdoor) en la copia de seguridad del NAS, la aplicación de recuperación ante desastres. QNAP ha abordado una vulnerabilidad crítica que permite a los atacantes iniciar sesión en dispositivos NAS de QNAP (almacenamiento conectado a la red) utilizando credenciales "hardcodeadas". Ransomware Qlocker y eCh0raix. Piden rescate por valor de 0.01 Bitcoins


Ataque ransomware a QNAP está cifrando los NAS de los usuarios 

La vulnerabilidad de credenciales "codificadas" de forma "rígida" rastreada como CVE-2021-28799  fue encontrada por ZUSO ART, con sede en Taiwán, en HBS 3 Hybrid Backup Sync, la solución de respaldo de datos y recuperación de desastres de la compañía.

La compañía dice que el error de seguridad ya está solucionado en las siguientes versiones de HBS y aconseja a los clientes que actualicen el software a la última versión lanzada:

  • QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 y posterior
  • QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 y posterior
  • QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 y posterior
  • QuTScloud c4.5.1 ~ c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 y posterior

QNAP recomienda encarecidamente a todos los usuarios a que instalen inmediatamente la última versión de Malware Remover y ejecuten un análisis de malware en el NAS de QNAP. Las aplicaciones Multimedia Console, Media Streaming Add-on, e Hybrid Backup Sync deben actualizarse a la última versión disponible para proteger aún más el NAS QNAP de los ataques de ransomware.

QNAP ha lanzado una versión actualizada de Malware Remover para sistemas operativos como QTS y QuTS hero para abordar el ataque de ransomware. Si los datos del usuario están encriptados o se están encriptando, el NAS no debe apagarse. Los usuarios deben ejecutar un escaneo de malware con la última versión de Malware Remover inmediatamente y luego comunicarse con el servicio de Soporte técnico de QNAP en https://service.qnap.com/.

Para los usuarios no afectados, se recomienda instalar inmediatamente la última versión de Malware Remover y ejecutar un escaneo de malware como medida de precaución. Todos los usuarios deben actualizar sus contraseñas por otras más seguras, y las aplicaciones Multimedia Console, Media Streaming Add-on, e Hybrid Backup Sync deben actualizarse a la última versión disponible.

Método 1

  1. Nos conectamos por SSH al servidor NAS como administrador, pinchamos en «Q» y posteriormente en «Y» para entrar por consola sin el asistente.
  2. Ejecutamos el comando «ps | grep 7z». Si no hay ningún proceso funcionando, o hemos reiniciado el NAS, malas noticias, no podremos recuperar la clave.
  3. Si el 7z está funcionando actualmente, debemos ejecutar el comando siguiente: cd /usr/local/sbin; printf ‘#!/bin/sh necho $@necho $@>>/mnt/HDA_ROOT/7z.lognsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  4. Una vez ejecutado, esperamos unos minutos y ejecutamos el siguiente comando: cat /mnt/HDA_ROOT/7z.log
  5. En este log podremos ver un contenido similar a este: a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA]
  6. Esta clave en negrita es la contraseña con la que se está cifrando la información, y también con la que se debe descifrar la clave.

Método 2

  1. Instalamos el programa Malware Remover desde la App Center y escaneamos nuestro equipo.
  2. Nos conectamos por SSH al servidor NAS como administrador, pinchamos en «Q» y posteriormente en «Y» para entrar por consola sin el asistente.
  3. Ejecutamos el siguiente comando: cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
  4. Si la consola nos devuelve un mensaje de «No such file or directory» significa que no podemos hacer nada, el NAS se ha reiniciado o ya ha terminado el proceso de cifrado de los datos.
  5. Si no devuelve error, ejecutamos: cat /share/Public/7z.log. Y nos saldrá la clave en el mismo formato de antes: a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA]

Recuperar la contraseña del cifrado

  • Conéctate por SSH al Nas
  • Utiliza el comando 
  • ps | grep 7z
  • Si se está ejecutando 7z, usa el comando:
  • cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  • Espera unos minutos, puedes usar luego cat
  • cat /mnt/HDA_ROOT/7z.log
  • aquí está el contraseña que han usado para cifrar los ficheros:
  • a -mx = 0 -sdel -pXXXXXXXXXXXX [RUTA DE CARPETA]
  • donde XXXXXXXXXXXXX es la contraseña de 32 caracteres.
Si no tienes internet:

cd /share/Public 
wget http://download.qnap.com/Storage/tsd/utility/7z
cd /usr/local/sbin
rm /usr/local/sbin/7z
cp /share/Public/7z /usr/local/sbin
 chmod 755 /usr/local/sbin/7z 
Fuente:

Para actualizar HBS en su dispositivo NAS, debe iniciar sesión en QTS o QuTS hero como administrador. A continuación, busque "HBS 3 Hybrid Backup Sync" en App Center y luego haga clic en Actualizar y Aceptar para actualizar la aplicación (la opción Actualizar no está disponible si HBS ya está actualizado).

Si bien QNAP publicó la seguridad anunciando que CVE-2021-28799 se corrigió hoy, las notas de la versión de la aplicación para la versión 16.0.0415 lo enumeran como arreglado hace casi una semana, el 16 de abril.

Un portavoz de QNAP dijo que la demora en la divulgación fue causada por el tiempo adicional necesario para lanzar parches para las versiones QuTS hero y QuTScloud HBS (la actualización de seguridad para QTS se lanzó hace seis días).

QNAP también agregó que su equipo PSIRT no ha encontrado evidencia de explotación activa de esta vulnerabilidad en la naturaleza.

El mismo día, QNAP corrigió otras dos vulnerabilidades de inyección de comandos de HBS, así como dos vulnerabilidades críticas más, un error de inyección de comandos en QTS y QuTS hero (CVE-2020-2509) y una vulnerabilidad de inyección SQL en la consola multimedia y la transmisión de medios. Complemento (CVE-2020-36195), que podría permitir a los atacantes obtener acceso completo a los dispositivos NAS.

Campaña de ransomware Qlocker en curso dirigida a los usuarios de QNAP

Errores de seguridad críticos como estos permiten que los actores de amenazas se apoderen de los dispositivos NAS y, en algunos casos, implementen ransomware para cifrar los archivos de los usuarios y pedir grandes rescates por un descifrador.

También se sabe que los actores de amenazas se apoderan de los dispositivos NAS y los utilizan para "proxy de su conexión para interactuar con las webshells que colocaron en estos dispositivos" y ocultar su actividad maliciosa dentro del tráfico de trabajo remoto regular, según CISA.

QNAP dijo que creen que una nueva cepa de ransomware conocida como Qlocker explota la vulnerabilidad de inyección SQL (CVE-2020-36195) para cifrar datos en dispositivos vulnerables.

Esto es precisamente lo que ha estado sucediendo desde al menos el 19 de abril, cuando los atacantes detrás de una campaña masiva que implementaba una nueva cepa de ransomware conocida como Qlocker comenzaron a mover los archivos de los clientes de QNAP en archivos 7zip protegidos con contraseña y solicitar un rescate.



Durante los últimos cuatro días  ha experimentado una cantidad considerable de actividad, e ID-Ransomware ha registrado un aumento de las presentaciones de muestras de Qlocker por parte de las víctimas.



Qlocker no es el primer ransomware que se dirige a los dispositivos QNAP, dado que se utilizan comúnmente para almacenar archivos personales confidenciales y son la palanca perfecta para obligar a las víctimas a pagar un rescate para descifrar sus datos.

En junio de 2020, QNAP advirtió sobre los ataques de ransomware eCh0raix dirigidos a fallas de seguridad de la aplicación Photo Station.

eCh0raix (también conocido como QNAPCrypt) regresó un año después, tratando de obtener acceso a los dispositivos de QNAP mediante la explotación de vulnerabilidades conocidas y cuentas de fuerza bruta con contraseñas débiles.

QNAP también alertó a los clientes en septiembre de 2020 de una campaña de ransomware AgeLocker dirigida a dispositivos NAS expuestos públicamente mediante la explotación de versiones de Photo Station más antiguas y vulnerables.

Se recomienda a los clientes de QNAP que sigan el siguiente procedimiento para proteger sus dispositivos NAS y verificar si hay malware:


  • Cambiar todas las contraseñas de todas las cuentas del dispositivo
  • Eliminar cuentas de usuarios desconocidos del dispositivo
  • Asegúrese de que el firmware del dispositivo esté actualizado y de que todas las aplicaciones también estén actualizadas
  • Eliminar aplicaciones desconocidas o no utilizadas del dispositivo
  • Instale la aplicación QNAP MalwareRemover a través de la funcionalidad del App Center
  • Configure una lista de control de acceso para el dispositivo (Panel de control -> Seguridad -> Nivel de seguridad
Ejemplo nota de rescate:

!!! All your files have been encrypted !!!

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

To purchase your key and decrypt your files, please follow these steps:

1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".

2. Visit the following pages with the Tor Browser:

gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

3. Enter your Client Key:

[client_key]

Fuentes:

https://www.bleepingcomputer.com/news/security/qnap-removes-backdoor-account-in-nas-backup-disaster-recovery-app/

https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.