Recientemente, el ransomwareQlocker ha lanzado una campaña hostil contra los NAS de QNAP que ha causado molestias y pérdida de datos a nuestros apreciados usuarios. Entendemos que nuestros usuarios estén profundamente preocupados por este incidente. Siempre ha sido la principal prioridad de QNAP corregir los problemas de software de manera oportuna y publicar información relevante, por lo que ahora mantenemosnuestro compromiso y estamos redoblando nuestros esfuerzos para mejorar continuamente las funciones de seguridad que se proporcionan en nuestros productos. Respaldamos nuestro compromiso y esperamos que nuestros usuarios trabajen activamente con nosotros para mejorar la seguridad de la información, incluida la instalación de actualizaciones y el mantenimiento de buenos hábitos en todo momento para mantener la seguridad de Internet y garantizar que los datos no se filtren.

Descripción del incidente

El 16 de abril de 2021 lanzamos una versión actualizada (16.0.0415) de la aplicación HybridBackupSync (HBS) para añadir nuevas funciones y abordar ciertos problemas de seguridad descritos en los Avisos de seguridad de QNAP QSA-21-13. El 21 de abril comenzamos a recibir informes de usuarios sobre posibles ataques de ransomware. Posteriormente, nuestra investigación inicial confirmó que el ransomware Qlocker estaba afectando una de las vulnerabilidades parcheadas de la aplicación HBS contra los NAS QNAP no actualizados que se encontraban conectados directamente a Internet.

El atacante aprovechó una vulnerabilidad de la aplicación HBS parcheada. Una vez que la debilidad es manipulada, el malware podría obtener un nivel de permiso inadecuado hacia el NAS QNAP involucrado. Después de que el NAS fuera infectado, el atacante insertaba un código malicioso en el sistema para eliminar todas las instantáneas y comprimir los archivos del usuario con una contraseña, utilizando la utilidad 7-Zip incorporada, que está diseñada para operaciones normales de compresión y descompresión de archivos. Una vez comenzado el cifrado, Qlocker dejaba una nota de rescate, y desaparecía para aumentar la dificultad de nuestras investigaciones.

Basándonos en la información limitada que hemos recopilado de los primeros casos notificados, hemos publicado reglas de detección actualizadas de la aplicación para NAS QNAP Malware Remover para detectar y detener las actividades de malware. También hemos agregado secuencias de comandos cortas para intentar la extracción de la clave de cifrado mientras la compresión aún está en curso.

Posteriormente, el 22 de abril publicamos una noticia de seguridad de productos para instar a nuestros usuarios a que instalaran todas las actualizaciones lanzadas recientemente antes de que pudiésemos confirmar la ruta de ataque real. Y después de identificar la ruta, actualizamos la regla de Malware Remover nuevamente para poner en cuarentena el código HBS en cuestión para los NAS QNAP sin parches.

Síntomas

• Infectado pero aún no activo
  1. No se observa ninguna anomalía en el NAS QNAP infectado con Qlocker.
• Activo (cifrado en curso)
  1. Si Qlocker está actualmente activo (cifrado/compresión en curso), la extensión del nombre de archivo de los archivos del usuario pasará a ser “.7z” de uno en uno. Alternativamente, en el Monitor de recursos, el proceso 7z está ocupando un nivel anormalmente alto de recursos del sistema.
• Después de la actividad (cifrado finalizado)
  1. Una vez que Qlocker ha finalizado su actividad maliciosa (ha finalizado el cifrado/compresión), la extensión del nombre de archivo de todos los archivos de usuario (tamaño <20 MB) ahora es “.7z”. También se genera una nota de rescate (archivo de texto sin cifrar) en el NAS QNAP.

Cronología de nuestra respuesta a Qlocker

• Viernes, 19 de marzo de 2021
  1. Se recibe el informe de problemas de seguridad de HBS.
• Viernes, 16 de abril de 2021
  1. Se lanza la aplicación HBS parcheada para la versión actual. Para proteger de los ataques a los usuarios que aún no han aplicado la actualización, ajustamos el tiempo de divulgación para el aviso de seguridad correspondiente.
• Miércoles, 21 de abril de 2021
  1. Comenzamos a recibir informes de usuarios sobre ataques de ransomware. Inmediatamente iniciamos nuestra investigación.
• Jueves, 22 de abril de 2021
  1. Actualizamos la regla de detección de Malware Remover para detener el cifrado/compresión de Qlocker. También publicamos una noticia de seguridad de productos y el aviso de seguridad correspondiente ese mismo día.
• Del 23 al 25 de abril de 2021
  1. El personal de soporte técnico de QNAP de todo el mundo trabajó sin descanso con usuarios afectados para probar y depurar Qlocker, así como para ofrecer nuestra ayuda por todos los medios posibles.
• Lunes, 26 de abril de 2021
  1. Se añadió una nueva regla de detección de Malware Remover para que Qlocker ponga en cuarentena el código HBS en cuestión para el QNAP NAS sin parches.

Qué hace un barrido de Malware Remover

• Al ejecutar un escaneo de eliminación de malware en un NAS QNAP infectado con Qlocker (aún no activo), se depurará el código malintencionado de Qlocker. Si también se detecta una versión sin parche de HBS, se eliminará el código de HBS en cuestión.
• Al ejecutar un escaneo de Malware Remover en un NAS QNAP con Qlocker activo (cifrado/compresión en curso), se detendrá el cifrado/compresión. El escaneo también intentará extraer la clave de cifrado utilizada para el ataque. Si también se detecta una versión sin parche de HBS, se eliminará el código de HBS en cuestión.
• Al ejecutar un escaneo de Malware Remover en un NAS QNAP después del ataque de Qlocker (finalizó el cifrado/compresión), el código HBS en cuestión se eliminará si se detecta una versión sin parche de HBS.

Para todas las actividades de eliminación de malware, se generará el correspondiente registro de eventos del sistema.

Acciones que puede realizar el usuario contra Qlocker

Para todos los usuarios, recomendamos encarecidamente realizar un escaneo manual de Malware Remover con el NAS QNAP conectado a Internet. Malware Remover actualizará su regla de detección a la última versión y luego detectará si su NAS QNAP está bajo la influencia del ransomwareQlocker y la debilidad de HBS parcheada.

Sin embargo, tenga en cuenta que la forma en que su NAS QNAP está conectado a Internet también afecta a la seguridad general del sistema. Para continuar de forma segura, consulte las recomendaciones generales que se indican en la siguiente sección.

Adicionalmente,

• Cifrado/compresión activo o finalizado
  1. Si su NAS QNAP está bajo la influencia de Qlocker, independientemente del estado de cifrado/compresión, no apague ni reinicie el NAS. No actualice tampoco el sistema operativo del NAS. Ejecute el escaneo manual de Malware Remover mencionado anteriormente y contacte con el soporte técnico de QNAP de inmediato. Inspeccionaremos su NAS QNAP para determinar si se pueden recuperar sus archivos;
• Infectado pero aún no activo
  1. Si Malware Remover detecta Qlocker y lo depura de su NAS QNAP y sus archivos están intactos, tome las medidas indicadas en las recomendaciones generales lo antes posible para mejorar la seguridad del NAS;
• No afectado
  1. Aunque Malware Remover no detecte Qlocker en su NAS QNAP, debe tomar las medidas indicadas en las recomendaciones generales lo antes posible para mejorar la seguridad del NAS.

Recomendaciones generales

Para conectarse a su NAS QNAP desde Internet, sugerimos que los usuarios puedan hacer uso de la función myQNAPcloud Link proporcionada por QNAP. No se requieren configuraciones complejas para habilitar myQNAPcloud Link. Para otros usuarios, recomendamos encarecidamente que su NAS QNAP no se conecte directamente a Internet, sino a través de VPN De este modo se mejorará la seguridad del NAS QNAP. Recomendamos a los usuarios que habiliten el servicio de servidor VPN en su router. Para acceder a su NAS QNAP desde Internet, primero establezca una conexión VPN a su router y luego conéctese al NAS QNAP a través de VPN. Esto puede fortalecer eficazmente el NAS y disminuir la posibilidad de ser atacado. Para obtener más información, consulte el artículo del blog de QNAP: https://blog.qnap.com/nas-internet-connect-en/

Aunque estamos ampliando activamente nuestras investigaciones, hay una serie de acciones que pueden realizar nuestros usuarios para que sus NAS QNAP sean más seguros para defenderse contra ciberataques. Estas acciones son:

• Habilite la configuración de actualización automática o compruebe periódicamente si hay actualizaciones del sistema operativo y de la aplicación manualmente
• Consulte la estrategia de copia de seguridad 3-2-1 y realice una copia de seguridad de los archivos almacenados en el NAS QNAP
  1. Tenga en cuenta que si almacena la única copia de sus archivos en el NAS QNAP, aunque haya habilitado funciones de protección de datos como RAID e instantáneas, sus datos no estarán protegidos contra todos los riesgos posibles. RAID solo protege contra fallos de disco, mientras que las instantáneas ofrecen protección para los ataques de ransomware desde su ordenador personal. Para asegurarse de que sus archivos estén sanos y salvos, haga una copia de seguridad de los datos de su NAS o haga una copia de seguridad del archivo de copia de seguridad almacenado en su NAS QNAP.
• Consulte la segunda mitad de este artículo del blog de QNAP para obtener recomendaciones sobre la configuración de seguridad para aumentar la seguridad del NAS: https://blog.qnap.com/nas-internet-connect-en/
• Registre un ID de QNAP y suscríbase a nuestros avisos de seguridad para recibir nuestra información de actualización de seguridad más reciente: https://account.qnap.com/

Agradecimientos

Aprovecharemos esta oportunidad para agradecer la ayuda de ZUSO, una empresa de seguridad de la información con sede en Taiwán, por informar del problema y ayudar con la respuesta al incidente. Continuaremos trabajando con ZUSO y otras empresas y equipos de investigación de seguridad para mejorar la seguridad y protección de todos los productos QNAP.