Công Nghệ

Cảnh báo về Chiến dịch tấn công Ransomware quy mô lớn Lạm dụng 7zip để mã hóa thiết bị QNAP

Các nhà nghiên cứu an ninh mạng quốc tế đã cảnh báo về một chiến dịch tấn công ransomware quy mô lớn nhắm vào các thiết bị QNAP trên khắp thế giới. Chiến dịch tấn công này vẫn đang hoạt động, đặc biệt là với nhiều nạn nhân phát hiện ra rằng các tệp được mã hóa được lưu trữ trong các kho lưu trữ 7zip được bảo vệ bằng mật khẩu.

Phần mềm tống tiền được sử dụng trong cuộc tấn công này là Qlocker. Đây không còn là cái tên xa lạ trong giới an ninh toàn cầu. Theo phát hiện sơ bộ, hoạt động độc hại có chủ đích nhắm vào các thiết bị QNAP đã bắt đầu vào ngày 19 tháng 4 năm 2021 trên toàn cầu. Kể từ đó, đã có vô số thông báo khẩn cấp rằng hệ thống tệp của người dùng QNAP bị mã hóa để đòi tiền chuộc.

Trong hầu hết các báo cáo, hầu hết các nạn nhân đều báo cáo rằng những kẻ tấn công đã lạm dụng 7-zip để di chuyển hệ thống tệp của thiết bị QNAP sang một kho lưu trữ được bảo vệ bằng mật khẩu. Trong khi tệp bị khóa, QNAP Resource Monitor sẽ hiển thị quá trình ‘7z’, một quá trình chạy dòng lệnh 7zip.

7zip dường như đang chạy trong QNAP Resource Monitor.

Sau khi ransomware hoàn tất quá trình mã hóa, các tệp trên thiết bị QNAP của bạn được lưu trữ trong kho lưu trữ 7-zip được bảo vệ bằng mật khẩu (tệp nén) kết thúc bằng phần mở rộng .7z. Việc giải nén các kho lưu trữ này yêu cầu nạn nhân nhập mật khẩu chỉ kẻ tấn công mới biết.

Kho lưu trữ 7zip được bảo vệ bằng mật khẩu

Kho lưu trữ 7zip được bảo vệ bằng mật khẩu

Sau khi thiết bị QNAP được mã hóa, nạn nhân sẽ nhận được cảnh báo ransomware sau: !!! READ_ME.txt. Điều này bao gồm một khóa khách hàng duy nhất mà nạn nhân phải nhập để đăng nhập vào trang thanh toán Tor của ransomware.

Lưu ý đòi tiền chuộc Qlocker

Lưu ý đòi tiền chuộc Qlocker

Như bạn có thể thấy từ thông báo, tất cả nạn nhân phải trả 0,01 bitcoin, tương đương khoảng 557,74 USD, để đổi lấy mật khẩu cho kho lưu trữ 7zip được mã hóa.

Trang thanh toán Qlocker Tor

Trang thanh toán Qlocker Tor

Sau khi trả tiền chuộc và nhập ID giao dịch Bitcoin hợp lệ, trang thanh toán Tor sẽ hiển thị mật khẩu lưu trữ 7Zip của nạn nhân như hình bên dưới.

Hiển thị mật khẩu sau khi thanh toán tiền chuộc

Hiển thị mật khẩu sau khi thanh toán tiền chuộc

Mật khẩu này là duy nhất cho mỗi nạn nhân và không thể được sử dụng trên thiết bị của nạn nhân khác.

Các lỗ ở đâu?

QNAP cho rằng những kẻ tấn công đang khai thác hàng loạt lỗ hổng khác nhau để triển khai chiến dịch mã độc này.

Trước đó (ngày 16 tháng 4), QNAP thông báo rằng họ đã giải quyết một loạt lỗ hổng bảo mật quan trọng có thể cho phép các tác nhân từ xa có quyền truy cập đầy đủ vào thiết bị và chạy ransomware, bao gồm:

  • CVE-2020-2509: Lỗ hổng chèn lệnh trong QTS và anh hùng QuTS
  • CVE-2020-36195: Lỗ hổng SQL Injection trong Multimedia Console và Media Streaming Add-ons

Tuy nhiên, các chuyên gia QNAP tin rằng chiến dịch Qlocker đã khai thác lỗ hổng CVE-2020-36195 để chạy ransomware trên các thiết bị dễ bị tấn công, tức là các thiết bị không được cập nhật bản vá mới nhất.

Do đó, người dùng thiết bị QNAP nên cập nhật ngay QTS, bảng điều khiển đa phương tiện và các tiện ích bổ sung phát trực tuyến đa phương tiện lên phiên bản mới nhất.

QNAP đặc biệt kêu gọi tất cả người dùng cài đặt ngay phiên bản Malware Remover mới nhất và quét QNAP NAS của họ để tìm phần mềm độc hại. Bảng điều khiển đa phương tiện, tiện ích bổ sung phát trực tuyến đa phương tiện và ứng dụng đồng bộ hóa sao lưu kết hợp cũng nên được cập nhật lên phiên bản mới nhất để bảo vệ hơn nữa hệ thống QNAP NAS của bạn khỏi các cuộc tấn công ransomware đang diễn ra. Chúng tôi đang khẩn trương tìm giải pháp để xóa phần mềm độc hại khỏi các thiết bị bị nhiễm.“.

Đồng thời, QNAP cảnh báo rằng nạn nhân nên chạy trình quét phần mềm độc hại ngay lập tức mà không cần khởi động lại thiết bị của họ.

Thiết bị NAS không được tắt hoặc khởi động lại khi dữ liệu được mã hóa hoặc đang được mã hóa. Thay vào đó, hãy quét phần mềm độc hại ngay lập tức bằng phiên bản Malware Remover mới nhất, sau đó liên hệ với bộ phận hỗ trợ kỹ thuật QNAP tại service.qnap.com.“.

.

Back to top button
You cannot copy content of this page