Recientemente se ha detectado una nueva campaña ransomware dirigida a dispositivos NAS QNAP. Apodada Qlocker, la campaña utiliza 7 zip para mover archivos en dispositivos QNAP a archivos protegidos con contraseña.
Los ataques salieron a la luz el 19 de abril, cuando varios usuarios encontraron que sus dispositivos estaban encriptados y tomaron foros técnicos y el servicio ID-Ransomware para averiguar más sobre la amenaza.
Según Bleeping Computer, mientras los archivos se bloquean, el Monitor de Recursos de QNAP mostrará numerosos procesos '7z' que son el ejecutable de línea de comandos 7zip. Una vez finalizado el proceso de cifrado, los archivos del dispositivo QNAP se almacenarán en archivos de 7 comprimidos protegidos con contraseña que finalizarán con la extensión .7z. Para extraer estos archivos, las víctimas tendrán que introducir una contraseña proporcionada por el atacante.
Una nota de rescate dejado por los atacantes incluye una clave de cliente única que las víctimas necesitan entrar para iniciar sesión en el sitio de pago Tor ransomware. Para recibir la contraseña de los archivos cifrados las víctimas deben pagar 0.01 Bitcoins (~$533).
QNAP dijo que cree que los atacantes están explotando la vulnerabilidad CVE-2020-36195 para ejecutar el ransomware en los dispositivos.
A principios de este mes QNAP abordó una vulnerabilidad de alto riesgo (CVE-2020-2509) en QNAP QTS que permitió a los hackers remotos ejecutar comandos de shell arbitrarios en el sistema de destino.
