QNAP: Qlocker-ransomware infecteerde gebruikers via HBS 3

De aanval met Qlocker-ransomware die gebruikers van QNAP-systemen eind april trof, vond plaats via een lek in bepaalde versies van Hybrid Backup Sync. De fabrikant heeft het lek gedicht en adviseert gebruikers te updaten naar de laatste versie.

Volgens QNAP begon de ransomwarecampagne via het HBS 3-lek in de week van 19 april en maakte deze misbruik van kwetsbaarheden in verschillende versies van Hybrid Backup Sync. NAS-systemen die nog HBS 2 en HBS 1.3 draaien zouden niet getroffen zijn.

Na infectie verplaatste Qlocker bestanden in 7z-archieven die met een wachtwoord afgeschermd waren en een tekstbestand gaf instructies hoe toegang te herstellen was. Na betaling aan de gijzelnemers kregen gedupeerden een wachtwoord om de bestanden te kunnen benaderen. QNAP adviseert gebruikers HBS 3 te updaten naar de laatste versie om verdere problemen te voorkomen.

Het bedrijf maakte al eind april bekend dat er kwetsbaarheden in HBS 3 gedicht waren, maar QNAP legde in die mededeling niet de link met de ransomware. Wel waarschuwde het bedrijf op diezelfde dag voor de ransomware-aanval en adviseerde het bedrijf toen de laatste versie van Malware Remover te installeren en updates uit te voeren voor Multimedia Console, Media Streaming Add-on en Hybrid Backup Sync.

Volgens Bleeping Computer zijn honderden QNAP-gebruikers getroffen door de gijzelmalware en is er in totaal meer dan 350.000 dollar betaald. De criminelen eisten 0,01 bitcoin, op dit moment omgerekend 334 euro, voor verstrekking van het wachtwoord. De Tor-site om de sleutel te bemachtigen was beperkte tijd online.

QNAP heeft kwetsbaarheden in de volgende versies van HBS 3 gedicht:
QTS 4.5.2: HBS 3 v16.0.0415 en later
QTS 4.3.6: HBS 3 v3.0.210412 en later
QTS 4.3.3 and 4.3.4: HBS 3 v3.0.210411 en later
QuTS hero h4.5.1: HBS 3 v16.0.0419 en later
QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419 en later

Door Olaf van Miltenburg

Nieuwscoördinator

21-05-2021 • 15:25

31 Linkedin

Reacties (31)

31
31
15
4
0
13
Wijzig sortering
Ik ben net van Synology geswitcht naar qnap, maar hoe ze dit aanpakken... snel een forced update van hun malware remover, die vervolgens de 7zip executable verwijdert om verdere problemen te voorkomen. Die remover meldde dan dat ie iets gevonden had (de 7zip exe...) waardoor nog meer mensen in paniek raakten, en tot overmaat van ramp volgde er daarna een malware remover update wegens eenzelfde vulnerability. Ik had net de nieuwe qnap geconfigureerd maar hij staat nu al een paar weken voornamelijk uit totdat ik zeker weet dat deze shitstorm over is. En vooral dat zeker weten schijnt lastig te zijn bij qnap.
Tja, wat ik op allerlei plekken lees is dat QNAP maar telkens nieuwe features toevoegt aan zijn firmware, maar dat op een onveilige manier doet. Zoals bijvoorbeeld hier over een hard-coded wachtwoord.

Hoe dat allemaal precies zit, en waarom zij dat (blijkbaar) telkens verkeerd doen, gaat mij te ver.
Ik heb inmiddels alle services die naar buiten verbinden uitgezet. Waarschijnlijk is dan het risico minimaal. Hoop/denk ik.

Als je een Intel Qnap hebt kun je er nog Debian op installeren, maar dat gaat met de mijne helaas niet.

[Reactie gewijzigd door bas-r op 21 mei 2021 15:59]

Xpenology... Stuk beter! :)
Ik was wel getroffen door deze exploit, gelukkig had ik een 2e NAS met backup van alles. ( die NAS hangt niet direct aan het internet en staat door de weeks uit)
Anders was ik ~40K aan muziek, heel veel persoonlijke (vakantie) foto's en in de loop der jaren verzamelde software kwijt. Ik denk dat de encryption uiteindelijk vast liep op mijn camera streams die ik ook opsla :) in totaal heeft de exploit zo;n 10 uur kunnen ' draaien' voor dat ik patch had aangebracht.
De !!!read_me.txt was redelijk makkelijk te verwijderen.
Het terugzetten van de backup heeft ongeveer zo;n 2 uur geduurd.

Toch een nasty ervaring.
wat mij nog niet duidelijk is, is hoe HBS getroffen is. HBS hoeft toch helemaal niet direct aan het internet te hangen om te functioneren. wat ik mij dus afvraag is of je getroffen kunt worden door andere qnap waar je middels HBS naar synct of via via een andere dienst.

ik zelf gebruik HBS 3 wel om data in een los staande cloud te backuppen, maar ik heb deze niet aan het internet hangen. is mijn setup dan potentieel kwetsbaar als ik een niet gepatchte versie draai?
Verschillende bronnen melden dat het om een hardcoded user in de applicatie gaat. Ookal gebruik je HBS 3 niet dan as je kwetsbaar. Wat is gebleken is dat de aanvallers redelijk lui zijn geweest. Alleen qnap systemen die op hun default port aan het internet hangen zijn getroffen door Qlocker. Ook zijn de bestanden versleuteld doormiddel van 7zip, waardoor in sommige gevallen het wachtwoord nog te achterhalen was. Het is duidelijk dat de aanvaller snel zoveel mogelijk systemen probeerde te versleutelen.

Tweakers is wel relatief laat met dit bericht, Eerste berichten van de aanval zijn al bijna een maand oud. De pagina's voor de ransomware betalingen zijn inmiddels al offline.
Blijkbaar staat er een hardcoded password in HBS, https://nvd.nist.gov/vuln/detail/CVE-2021-28799

Daarmee kan een aanvaller de NAS overnemen.
Je moet dus wel aan internet aangesloten zijn EN die HBS draaien. vanaf al geïnfecteerde systemen zal het niet over springen op andere QNAP's voor zover het in de CVE's staat.
Ik ben gelukkig niet getroffen, werk ook altijd alles snel bij. Echter wanneer ik wel was getroffen is het toch kwestie van oudere backup terugzetten? Ik heb ook version management aanstaan. Dus lijkt me wanneer je getroffen bent er nog niets aan de hand is? of zie ik het verkeerd?
Dat zie je niet verkeerd. Dit is een relatief basale ransomware. Maar als je gewoon je best practices aanhoudt en je NAS niet direct met internet verbind dan is er sowieso niets aan 't handje.
Dat hangt er vanaf hoe de ransomware werkt. Indien deze via een website op je pc de nas kan besmetten ben je alsnog de klos.
Een nas niet direct met het internet verbinden ...

Het is natuurlijk een beetje een lastig ding en ik weet ook niet hoe die initiële besmetting plaatsvond,
maar een verbinding (zelfs achter een VPN of proxy) met internet stelt je al bloot, en een fysieke scheiding doet af aan de functionaliteit. want je wilt immers ook onderweg op je laptopje / netbook of ipad bij je thuis opgeslagen documenten kunnen komen.

Persoonlijk zou ik daarom eerder kiezen voor risico beperking en damage control dan het feitelijk onmogelijk proberen te maken. dat wil zeggen: draai iets van anti-vir/mallware tools ÉN zorg voor voldoende offline-backups.
...want je wilt immers ook onderweg op je laptopje / netbook of ipad bij je thuis opgeslagen documenten kunnen komen.
"Onderweg.. Dat zoek ik even op.. :*) "
Maar even zonder dolle, wat je dus doet is gemak voor veiligheid inruilen. Als jij een manier heb om van buiten bij je NAS te kunnen, dan accepteer je dat anderen dat pad ook kunnen volgen. Natuurlijk zou het allemaal secure en zo moeten zijn, maar de praktijk is weerbarstiger. Daarom is de veilige methode om géén verbindingen naar binnen toe te laten, en dan maar even offline te leven.
Sommigen hebben toch juist een NAS om ergens anders bij bestanden te kunnen komen? Of een website te draaien?
De enige manier om dat te doen is je nas te air gappen.... En dan is het niet bepaald een nas meer...
Of een compleet air gapped netwerk opzetten zonder wifi, maar dat schiet z'n doel ook erg voorbij in mijn ogen...
Vlans zijn in die redenatie namelijk ook niet veilig want dan heb je alsnog te maken met points of failure...
Heb het zo opgelost. Nas is niet benaderbaar van het internet.
Aangezien NAS ook kapot kan gaan, bliksem, diefstal noem maar op worden bestanden op de nas ook meteen in de cloud gezet.
Dat is meteen een backup en wil je toegang tot je bestand maak je verbinding met de cloudprovider. Dat betekend natuurlijk dat je wel een cloud data account moet hebben.
Je kan je nas ook zo inrichten dat upload naar cloud 1 richting is maar ook 2 richting. Verander je data op de cloud gaat die veranderde data terug naar je nas. Bij mij is het 1 richting.
Mocht cloud account gehackt worden kan men de dat wissen maar lokaal is deze nog aanwezig.
Mocht de nas door ransomware versleuteld worden worden de bestanden in cloud geupdate maar bij veel providers kun je dan nog terug naar vorige versie, niet versleuteld.
Hoe heb je dit gedaan? Heb je ergens een uitleg?
Dat kan met o.a. HBS, ik heb er zelf onedrive aan gekoppeld
Ik doelde eigenlijk op het niet benaderbaar maken op het internet. Ik zou graag willen weten hoe ik dat voor elkaar krijg op mijn QNAP.
Ik doe ongeveer hetzelfde als slux.
Port forwarded op de modem/router naar websites (port 433) maar niet voor beheer (p. 8080). 2 weg sync naar OneDrive voor deel van mijn data, plus alles gaat naar 2e nas (oud beestje van ca 10jr) met versiecontrole.
Dat is leuk als je TB opslag nodig heb. Ik heb zelf al ruim 2TB aan foto materiaal en een aantal TB aan beeld.

Ja ik heb het ook naast m’n truenas, ook op externe disks staan. Maar deze data in de cloud opslaan is kostbaar. En had ik beter ook geen nas kunnen aanschaffen.

Daarnaast zie ik je oplossing niet als backup. Als jij een map met belangrijke data weg gooit en je komt daar een maand later pas achter. Dan kan je dat vanuit OneDrive niet herstellen.
Werk met synology, dacht app cloud backup.
Dat zou ik ook wel eens willen weten: een checklist om te volgen en als je alles hebt afgevinkt is je NAS zeker niet meer benaderbaar via het internet, tenzij misschien via een openvpn of wireguard verbinding.
Inderdaad... iemand een uitleg?
Volgens mij ondersteund snap en synologogy rsync. Zo kan je twee sources met elkaar Syncen. Zo heb je dan je data op bv OneDrive/dropbox als je nas.
Ik werkte ook vrij snel bij, maar QNAP heeft de laatste tijd een paar flinke scheve schaatsen gereden bij firmware updates. Soms werden versies na een dag of twee offline gehaald, omdat ze flink schade aan de data aanrichtten. Dan word je wel wat voorzichtiger met automatisch op 'ja' klikken als er weer iets te update valt
Dit is 1 van de redenen waarom ik nog niet enthousiast wordt van QNAP.
Ik gebruik al jaren FreeNAS en ik heb daar persoonlijk wat meer een veilig gevoel bij. Het is voor mij wat transparanter ingericht waardoor ik dingen ook beter kan inschatten.
Met zowel QNAP als Synologie zit je met proprietary dingen die een heel apart ontdekkingstraject vereisen in mijn ogen.
Heb ook al een paar issues gehad na een firmware update waarbij de Nas hersteld moest worden. Dit is nu de 3de keer in korte tijd. Voor mij nooit meer een qnap.
Zelf niets van vernomen, wel altijd keurig geüpdate. Heb voor synchronisatie tussen twee QNAPs op eentje RTRR open staan met één poort geforward. Deze staat alleen verbindingen vanaf één specifiek IP-adres toe (waar de andere NAS staat), om de risico’s te beperken.

Weet iemand wat met Qlocker precies de voorwaarden zijn voor een succesvolle aanval?
Mijn QNAP is sinds een paar jaar niet meer aan het internet verbonden, wel intern beschikbaar. Ik kreeg een soort virus erop dat ik met instructies van een forum kon verwijderen. De indruk was dat niemand wist wat de bedoeling was van dat virus. QNAP was zeer spaarzaam met het verstrekken van details. Mocht ik over een aantal jaar een nieuwe NAS nodig hebben, dan overweeg ik misschien opnieuw een Synology
Er word hier vaak gesproken over het 'aan het internet hangen'.
Voor mij is onduidelijk of daarmee bedoeld word dat er geen 'externe toegang tot de nas' is of dat de NAS helemaal niet (via de router) aan het internet hangt..

Mjjn Qnap is 24/7 op mijn router aangesloten en heeft dus toegang tot internet voor het downloaden van updates. Ik heb niets opengezet op mijn router en maak geen gebruik van myQNAPcloud. Is mijn Qnap dan ook kwetsbaar voor ransomware?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee