De aanval met Qlocker-ransomware die gebruikers van QNAP-systemen eind april trof, vond plaats via een lek in bepaalde versies van Hybrid Backup Sync. De fabrikant heeft het lek gedicht en adviseert gebruikers te updaten naar de laatste versie.
Volgens QNAP begon de ransomwarecampagne via het HBS 3-lek in de week van 19 april en maakte deze misbruik van kwetsbaarheden in verschillende versies van Hybrid Backup Sync. NAS-systemen die nog HBS 2 en HBS 1.3 draaien zouden niet getroffen zijn.
Na infectie verplaatste Qlocker bestanden in 7z-archieven die met een wachtwoord afgeschermd waren en een tekstbestand gaf instructies hoe toegang te herstellen was. Na betaling aan de gijzelnemers kregen gedupeerden een wachtwoord om de bestanden te kunnen benaderen. QNAP adviseert gebruikers HBS 3 te updaten naar de laatste versie om verdere problemen te voorkomen.
Het bedrijf maakte al eind april bekend dat er kwetsbaarheden in HBS 3 gedicht waren, maar QNAP legde in die mededeling niet de link met de ransomware. Wel waarschuwde het bedrijf op diezelfde dag voor de ransomware-aanval en adviseerde het bedrijf toen de laatste versie van Malware Remover te installeren en updates uit te voeren voor Multimedia Console, Media Streaming Add-on en Hybrid Backup Sync.
Volgens Bleeping Computer zijn honderden QNAP-gebruikers getroffen door de gijzelmalware en is er in totaal meer dan 350.000 dollar betaald. De criminelen eisten 0,01 bitcoin, op dit moment omgerekend 334 euro, voor verstrekking van het wachtwoord. De Tor-site om de sleutel te bemachtigen was beperkte tijd online.
QNAP heeft kwetsbaarheden in de volgende versies van HBS 3 gedicht: |
QTS 4.5.2: HBS 3 v16.0.0415 en later |
QTS 4.3.6: HBS 3 v3.0.210412 en later |
QTS 4.3.3 and 4.3.4: HBS 3 v3.0.210411 en later |
QuTS hero h4.5.1: HBS 3 v16.0.0419 en later |
QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419 en later |