QNAP: Qlocker-ransomware infecteerde gebruikers via HBS 3

De aanval met Qlocker-ransomware die gebruikers van QNAP-systemen eind april trof, vond plaats via een lek in bepaalde versies van Hybrid Backup Sync. De fabrikant heeft het lek gedicht en adviseert gebruikers te updaten naar de laatste versie.

Volgens QNAP begon de ransomwarecampagne via het HBS 3-lek in de week van 19 april en maakte deze misbruik van kwetsbaarheden in verschillende versies van Hybrid Backup Sync. NAS-systemen die nog HBS 2 en HBS 1.3 draaien zouden niet getroffen zijn.

Na infectie verplaatste Qlocker bestanden in 7z-archieven die met een wachtwoord afgeschermd waren en een tekstbestand gaf instructies hoe toegang te herstellen was. Na betaling aan de gijzelnemers kregen gedupeerden een wachtwoord om de bestanden te kunnen benaderen. QNAP adviseert gebruikers HBS 3 te updaten naar de laatste versie om verdere problemen te voorkomen.

Het bedrijf maakte al eind april bekend dat er kwetsbaarheden in HBS 3 gedicht waren, maar QNAP legde in die mededeling niet de link met de ransomware. Wel waarschuwde het bedrijf op diezelfde dag voor de ransomware-aanval en adviseerde het bedrijf toen de laatste versie van Malware Remover te installeren en updates uit te voeren voor Multimedia Console, Media Streaming Add-on en Hybrid Backup Sync.

Volgens Bleeping Computer zijn honderden QNAP-gebruikers getroffen door de gijzelmalware en is er in totaal meer dan 350.000 dollar betaald. De criminelen eisten 0,01 bitcoin, op dit moment omgerekend 334 euro, voor verstrekking van het wachtwoord. De Tor-site om de sleutel te bemachtigen was beperkte tijd online.

QNAP heeft kwetsbaarheden in de volgende versies van HBS 3 gedicht:

QTS 4.5.2: HBS 3 v16.0.0415 en later

QTS 4.3.6: HBS 3 v3.0.210412 en later

QTS 4.3.3 and 4.3.4: HBS 3 v3.0.210411 en later

QuTS hero h4.5.1: HBS 3 v16.0.0419 en later

QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419 en later

Reacties (31)

CopyCatz 21 mei 2021 15:32

Ik ben net van Synology geswitcht naar qnap, maar hoe ze dit aanpakken... snel een forced update van hun malware remover, die vervolgens de 7zip executable verwijdert om verdere problemen te voorkomen. Die remover meldde dan dat ie iets gevonden had (de 7zip exe...) waardoor nog meer mensen in paniek raakten, en tot overmaat van ramp volgde er daarna een malware remover update wegens eenzelfde vulnerability. Ik had net de nieuwe qnap geconfigureerd maar hij staat nu al een paar weken voornamelijk uit totdat ik zeker weet dat deze shitstorm over is. En vooral dat zeker weten schijnt lastig te zijn bij qnap.

bas-r @CopyCatz • 21 mei 2021 15:41

Tja, wat ik op allerlei plekken lees is dat QNAP maar telkens nieuwe features toevoegt aan zijn firmware, maar dat op een onveilige manier doet. Zoals bijvoorbeeld hier over een hard-coded wachtwoord.

Hoe dat allemaal precies zit, en waarom zij dat (blijkbaar) telkens verkeerd doen, gaat mij te ver.
Ik heb inmiddels alle services die naar buiten verbinden uitgezet. Waarschijnlijk is dan het risico minimaal. Hoop/denk ik.

Als je een Intel Qnap hebt kun je er nog Debian op installeren, maar dat gaat met de mijne helaas niet.

[Reactie gewijzigd door bas-r op 22 juli 2024 18:21]

intraxi @bas-r • 22 mei 2021 14:31

Xpenology... Stuk beter!

geintje 21 mei 2021 17:33

Ik was wel getroffen door deze exploit, gelukkig had ik een 2e NAS met backup van alles. ( die NAS hangt niet direct aan het internet en staat door de weeks uit)
Anders was ik ~40K aan muziek, heel veel persoonlijke (vakantie) foto's en in de loop der jaren verzamelde software kwijt. Ik denk dat de encryption uiteindelijk vast liep op mijn camera streams die ik ook opsla

in totaal heeft de exploit zo;n 10 uur kunnen ' draaien' voor dat ik patch had aangebracht.
De !!!read_me.txt was redelijk makkelijk te verwijderen.
Het terugzetten van de backup heeft ongeveer zo;n 2 uur geduurd.

Toch een nasty ervaring.

dezejongeman 21 mei 2021 15:51

wat mij nog niet duidelijk is, is hoe HBS getroffen is. HBS hoeft toch helemaal niet direct aan het internet te hangen om te functioneren. wat ik mij dus afvraag is of je getroffen kunt worden door andere qnap waar je middels HBS naar synct of via via een andere dienst.

ik zelf gebruik HBS 3 wel om data in een los staande cloud te backuppen, maar ik heb deze niet aan het internet hangen. is mijn setup dan potentieel kwetsbaar als ik een niet gepatchte versie draai?

LigeTRy @dezejongeman • 21 mei 2021 16:23

Verschillende bronnen melden dat het om een hardcoded user in de applicatie gaat. Ookal gebruik je HBS 3 niet dan as je kwetsbaar. Wat is gebleken is dat de aanvallers redelijk lui zijn geweest. Alleen qnap systemen die op hun default port aan het internet hangen zijn getroffen door Qlocker. Ook zijn de bestanden versleuteld doormiddel van 7zip, waardoor in sommige gevallen het wachtwoord nog te achterhalen was. Het is duidelijk dat de aanvaller snel zoveel mogelijk systemen probeerde te versleutelen.

Tweakers is wel relatief laat met dit bericht, Eerste berichten van de aanval zijn al bijna een maand oud. De pagina's voor de ransomware betalingen zijn inmiddels al offline.

bas-r @dezejongeman • 21 mei 2021 16:22

Blijkbaar staat er een hardcoded password in HBS, https://nvd.nist.gov/vuln/detail/CVE-2021-28799

Daarmee kan een aanvaller de NAS overnemen.

freedzed6 @dezejongeman • 21 mei 2021 17:15

Je moet dus wel aan internet aangesloten zijn EN die HBS draaien. vanaf al geïnfecteerde systemen zal het niet over springen op andere QNAP's voor zover het in de CVE's staat.

glatuin 21 mei 2021 15:32

Ik ben gelukkig niet getroffen, werk ook altijd alles snel bij. Echter wanneer ik wel was getroffen is het toch kwestie van oudere backup terugzetten? Ik heb ook version management aanstaan. Dus lijkt me wanneer je getroffen bent er nog niets aan de hand is? of zie ik het verkeerd?

fapkonijntje @glatuin • 21 mei 2021 16:43

Dat zie je niet verkeerd. Dit is een relatief basale ransomware. Maar als je gewoon je best practices aanhoudt en je NAS niet direct met internet verbind dan is er sowieso niets aan 't handje.

Z80 @fapkonijntje • 21 mei 2021 17:35

Dat hangt er vanaf hoe de ransomware werkt. Indien deze via een website op je pc de nas kan besmetten ben je alsnog de klos.

i-chat @fapkonijntje • 21 mei 2021 16:57

Een nas niet direct met het internet verbinden ...

Het is natuurlijk een beetje een lastig ding en ik weet ook niet hoe die initiële besmetting plaatsvond,
maar een verbinding (zelfs achter een VPN of proxy) met internet stelt je al bloot, en een fysieke scheiding doet af aan de functionaliteit. want je wilt immers ook onderweg op je laptopje / netbook of ipad bij je thuis opgeslagen documenten kunnen komen.

Persoonlijk zou ik daarom eerder kiezen voor risico beperking en damage control dan het feitelijk onmogelijk proberen te maken. dat wil zeggen: draai iets van anti-vir/mallware tools ÉN zorg voor voldoende offline-backups.

scsirob @i-chat • 21 mei 2021 17:17

...want je wilt immers ook onderweg op je laptopje / netbook of ipad bij je thuis opgeslagen documenten kunnen komen.

"Onderweg.. Dat zoek ik even op..

"
Maar even zonder dolle, wat je dus doet is gemak voor veiligheid inruilen. Als jij een manier heb om van buiten bij je NAS te kunnen, dan accepteer je dat anderen dat pad ook kunnen volgen. Natuurlijk zou het allemaal secure en zo moeten zijn, maar de praktijk is weerbarstiger. Daarom is de veilige methode om géén verbindingen naar binnen toe te laten, en dan maar even offline te leven.

alien9998 @scsirob • 21 mei 2021 19:28

Sommigen hebben toch juist een NAS om ergens anders bij bestanden te kunnen komen? Of een website te draaien?

Spekkie88 @scsirob • 22 mei 2021 11:58

De enige manier om dat te doen is je nas te air gappen.... En dan is het niet bepaald een nas meer...
Of een compleet air gapped netwerk opzetten zonder wifi, maar dat schiet z'n doel ook erg voorbij in mijn ogen...
Vlans zijn in die redenatie namelijk ook niet veilig want dan heb je alsnog te maken met points of failure...

bbob @i-chat • 21 mei 2021 18:44

Heb het zo opgelost. Nas is niet benaderbaar van het internet.
Aangezien NAS ook kapot kan gaan, bliksem, diefstal noem maar op worden bestanden op de nas ook meteen in de cloud gezet.
Dat is meteen een backup en wil je toegang tot je bestand maak je verbinding met de cloudprovider. Dat betekend natuurlijk dat je wel een cloud data account moet hebben.
Je kan je nas ook zo inrichten dat upload naar cloud 1 richting is maar ook 2 richting. Verander je data op de cloud gaat die veranderde data terug naar je nas. Bij mij is het 1 richting.
Mocht cloud account gehackt worden kan men de dat wissen maar lokaal is deze nog aanwezig.
Mocht de nas door ransomware versleuteld worden worden de bestanden in cloud geupdate maar bij veel providers kun je dan nog terug naar vorige versie, niet versleuteld.

Munki @bbob • 21 mei 2021 19:08

Hoe heb je dit gedaan? Heb je ergens een uitleg?

Slux @Munki • 21 mei 2021 20:37

Dat kan met o.a. HBS, ik heb er zelf onedrive aan gekoppeld

Munki @Slux • 22 mei 2021 12:51

Ik doelde eigenlijk op het niet benaderbaar maken op het internet. Ik zou graag willen weten hoe ik dat voor elkaar krijg op mijn QNAP.

MultiGeo @Munki • 22 mei 2021 19:31

Ik doe ongeveer hetzelfde als slux.
Port forwarded op de modem/router naar websites (port 433) maar niet voor beheer (p. 8080). 2 weg sync naar OneDrive voor deel van mijn data, plus alles gaat naar 2e nas (oud beestje van ca 10jr) met versiecontrole.

To_Tall

@Slux • 23 mei 2021 10:23

Dat is leuk als je TB opslag nodig heb. Ik heb zelf al ruim 2TB aan foto materiaal en een aantal TB aan beeld.

Ja ik heb het ook naast m’n truenas, ook op externe disks staan. Maar deze data in de cloud opslaan is kostbaar. En had ik beter ook geen nas kunnen aanschaffen.

Daarnaast zie ik je oplossing niet als backup. Als jij een map met belangrijke data weg gooit en je komt daar een maand later pas achter. Dan kan je dat vanuit OneDrive niet herstellen.

bbob @Munki • 21 mei 2021 21:06

Werk met synology, dacht app cloud backup.

BartDG @Munki • 22 mei 2021 10:32

Dat zou ik ook wel eens willen weten: een checklist om te volgen en als je alles hebt afgevinkt is je NAS zeker niet meer benaderbaar via het internet, tenzij misschien via een openvpn of wireguard verbinding.

Munki @BartDG • 22 mei 2021 12:51

Inderdaad... iemand een uitleg?

To_Tall

@BartDG • 23 mei 2021 10:25

Volgens mij ondersteund snap en synologogy rsync. Zo kan je twee sources met elkaar Syncen. Zo heb je dan je data op bv OneDrive/dropbox als je nas.

scsirob @glatuin • 21 mei 2021 16:54

Ik werkte ook vrij snel bij, maar QNAP heeft de laatste tijd een paar flinke scheve schaatsen gereden bij firmware updates. Soms werden versies na een dag of twee offline gehaald, omdat ze flink schade aan de data aanrichtten. Dan word je wel wat voorzichtiger met automatisch op 'ja' klikken als er weer iets te update valt

fastbikkel 22 mei 2021 14:17

Dit is 1 van de redenen waarom ik nog niet enthousiast wordt van QNAP.
Ik gebruik al jaren FreeNAS en ik heb daar persoonlijk wat meer een veilig gevoel bij. Het is voor mij wat transparanter ingericht waardoor ik dingen ook beter kan inschatten.
Met zowel QNAP als Synologie zit je met proprietary dingen die een heel apart ontdekkingstraject vereisen in mijn ogen.

Venlonaerke 23 mei 2021 17:44

Heb ook al een paar issues gehad na een firmware update waarbij de Nas hersteld moest worden. Dit is nu de 3de keer in korte tijd. Voor mij nooit meer een qnap.

PDZ 24 mei 2021 14:14

Zelf niets van vernomen, wel altijd keurig geüpdate. Heb voor synchronisatie tussen twee QNAPs op eentje RTRR open staan met één poort geforward. Deze staat alleen verbindingen vanaf één specifiek IP-adres toe (waar de andere NAS staat), om de risico’s te beperken.

Weet iemand wat met Qlocker precies de voorwaarden zijn voor een succesvolle aanval?

Atlantis1995 24 mei 2021 23:24

Mijn QNAP is sinds een paar jaar niet meer aan het internet verbonden, wel intern beschikbaar. Ik kreeg een soort virus erop dat ik met instructies van een forum kon verwijderen. De indruk was dat niemand wist wat de bedoeling was van dat virus. QNAP was zeer spaarzaam met het verstrekken van details. Mocht ik over een aantal jaar een nieuwe NAS nodig hebben, dan overweeg ik misschien opnieuw een Synology

RicoE 27 mei 2021 18:56

Er word hier vaak gesproken over het 'aan het internet hangen'.
Voor mij is onduidelijk of daarmee bedoeld word dat er geen 'externe toegang tot de nas' is of dat de NAS helemaal niet (via de router) aan het internet hangt..

Mjjn Qnap is 24/7 op mijn router aangesloten en heeft dus toegang tot internet voor het downloaden van updates. Ik heb niets opengezet op mijn router en maak geen gebruik van myQNAPcloud. Is mijn Qnap dan ook kwetsbaar voor ransomware?

Op dit item kan niet meer gereageerd worden.

QNAP: Qlocker-ransomware infecteerde gebruikers via HBS 3

Lees meer

Reacties (31)

Sorteer op:

Weergave: