QRescue    Reaktion auf Qlocker    Fragen und Antworten

 

 

QNAP Stellungnahme zur Qlocker-Ransomware

 

Kürzlich startete die Qlocker-Ransomware eine feindliche Kampagne gegen QNAP NAS und verursachte Unannehmlichkeiten und Datenverlust für unsere geschätzten Benutzer. Wir verstehen, dass unsere Nutzer durch diesen Vorfall zutiefst beunruhigt sind. Auch wenn es für QNAP schon immer oberste Priorität war, Softwareprobleme zeitnah zu beheben und relevante Informationen zu veröffentlichen, stehen wir hinter unserem Engagement und verdoppeln unsere Anstrengungen zur kontinuierlichen Verbesserung der Sicherheitsfunktionen unserer Produkte. Wir laden unsere Benutzer herzlich dazu ein, sich uns anzuschließen und gemeinsam an dem Ziel zu arbeiten, Ransomware zu bekämpfen, um das Internet zu einem sichereren Ort für alle zu machen.

Beschreibung des Vorfalls

Am 16. April 2021 haben wir eine aktualisierte Version (16.0.0415) der Hybrid Backup Sync (HBS)-App veröffentlicht, um neue Funktionen hinzuzufügen und bestimmte Sicherheitsprobleme zu beheben, die im QNAP Security Advisory QSA-21-13 beschrieben wurden. Am 21. April begannen wir, Nutzerberichte über mögliche Ransomware-Angriffe zu erhalten. Nach unserer ersten Untersuchung wurde bestätigt, dass die Qlocker-Ransomware eine der gepatchten HBS-Sicherheitslücken gegen ungepatchte QNAP NAS ausnutzt, die direkt mit dem Internet verbunden sind.

Der Angreifer nutzte eine gepatchte HBS-Sicherheitslücke aus. Sobald die Schwachstelle ausgenutzt wird, könnte die Malware die unangemessene Berechtigungsstufe des betroffenen QNAP NAS erhalten. Nach dem Einbruch in das NAS würde der Angreifer einen bösartigen Code in das System einfügen, um alle Snapshots zu löschen und Benutzerdateien mit einem Passwort zu komprimieren, indem er das integrierte 7-Zip-Dienstprogramm verwendet, das für normale Dateikomprimierungs-/Dekomprimierungsvorgänge vorgesehen ist. Nachdem die Verschlüsselung beginnt, hinterlässt Qlocker eine Lösegeldforderung und löscht sich selbst, um die Schwierigkeit unserer Untersuchung zu erhöhen.

Basierend auf den begrenzten Informationen, die wir aus früh gemeldeten Fällen gesammelt haben, haben wir aktualisierte Erkennungsregeln der QNAP NAS Malware Remover-App veröffentlicht, um Malware-Aktivitäten zu erkennen und zu stoppen. Wir haben auch kurze Skripte hinzugefügt, um zu versuchen, den Verschlüsselungsschlüssel zu extrahieren, wenn die Komprimierung noch läuft.

Daraufhin haben wir am 22. April eine Produktsicherheitsmeldung veröffentlicht, in der wir unsere Benutzer auffordern, alle kürzlich veröffentlichten Updates zu installieren, bevor wir den tatsächlichen Angriffspfad bestätigen können. Und nachdem der Pfad identifiziert wurde, haben wir die Malware-Entferner-Regel erneut aktualisiert, um den fraglichen HBS-Code für ungepatchte QNAP NAS unter Quarantäne zu stellen.

Symptome

  • Infiziert, aber noch nicht aktiv
    1. Bei Qlocker-infizierten QNAP NAS wird keine Abnormalität festgestellt.
  • Aktiv (Verschlüsselung läuft)
    1. Wenn Qlocker gerade aktiv ist (Verschlüsselung/Komprimierung läuft), wird die Dateinamenerweiterung der Benutzerdateien nacheinander zu ".7z". Alternativ dazu belegt der 7z-Prozess im Ressourcenmonitor abnormal viele Systemressourcen.
  • Nachaktivität (Verschlüsselung beendet)
    1. Nachdem Qlocker seine schädliche Aktivität beendet hat (Verschlüsselung/Komprimierung beendet), lautet die Dateinamenerweiterung aller Benutzerdateien (Größe <20 MB) nun ".7z". Zudem wird auf dem QNAP NAS eine Lösegeldforderung (Klartextdatei) generiert.

Zeitleiste unserer Reaktion auf Qlocker

  • 19. März 2021
    1. HBS-Sicherheitsproblembericht erhalten.
  • 16. April 2021
    1. Freigabe der gepatchten HBS-App für die aktuelle Version. Um Benutzer, die das Update noch nicht eingespielt haben, vor Angriffen zu schützen, haben wir die Veröffentlichungszeit für den entsprechenden Sicherheitshinweis angepasst.
  • 21. April 2021
    1. Beginn des Eingangs von Nutzerberichten über Ransomware-Angriffe. Wir haben sofort unsere Untersuchung eingeleitet.
  • 22. April 2021
    1. Die Erkennungsregel des Malware-Entferners wurde aktualisiert, um die Verschlüsselung/Komprimierung von Qlockerzu stoppen. Am selben Tag haben wir auch die Product Security News und den entsprechenden Sicherheitshinweis veröffentlicht.
  • 23. bis 25. April 2021
    1. Die Mitarbeiter des technischen Supports von QNAP arbeiteten weltweit rund um die Uhr mit den betroffenen Benutzern zusammen, um Qlocker zu testen und zu bereinigen und um mit allen Mitteln zu helfen.
  • 26. April 2021
    1. Neue Malware-Remover-Erkennungsregel für Qlocker hinzugefügt, um den fraglichen HBS-Code für ungepatchte QNAP NAS unter Quarantäne zu stellen.

Was ein Malware Remover-Scan bewirkt

  • Durch Ausführen eines Malware Remover-Scans auf einem QNAP NAS mit infiziertem (noch nicht aktivem) Qlocker wird der Qlocker-Schadcode beseitigt. Wenn auch eine ungepatchte Version von HBS erkannt wird, wird der betreffende HBS-Code entfernt.
  • Wenn Sie einen Malware Remover-Scan auf einem QNAP NAS mit aktivem Qlocker (Verschlüsselung/Komprimierung läuft) durchführen, wird die Verschlüsselung/Komprimierung gestoppt. Der Scan versucht auch, den für den Angriff verwendeten Verschlüsselungsschlüssel zu extrahieren. Wenn auch eine ungepatchte Version von HBS erkannt wird, wird der betreffende HBS-Code entfernt.
  • Durch Ausführen eines Malware Remover-Scans auf einem QNAP NAS nach dem Qlocker-Angriff (Verschlüsselung/Komprimierung beendet) wird der betreffende HBS-Code entfernt, wenn eine ungepatchte Version von HBS gefunden wird.

Für alle Aktivitäten von Malware Remover wird ein entsprechendes Systemereignisprotokoll erstellt.

Benutzer-aktivierbare Elemente gegen Qlocker

Wir empfehlen allen Benutzern dringend, einen manuellen Malware Remover-Scan durchzuführen, während das QNAP NAS mit dem Internet verbunden ist. Malware Remover aktualisiert seine Erkennungsregel auf die neueste Version und erkennt dann, ob Ihr QNAP NAS unter dem Einfluss der Qlocker-Ransomware und der gepatchten HBS-Schwachstelle steht.

Bitte beachten Sie jedoch, dass die Art und Weise, wie Ihr QNAP NAS mit dem Internet verbunden ist, auch die Gesamtsystemsicherheit beeinflusst. Um sicher vorzugehen, beachten Sie bitte die allgemeinen Empfehlungen, die im nächsten Abschnitt aufgeführt sind.

Zusätzlich:

  • Verschlüsselung/Komprimierung aktiv oder beendet
    1. Wenn Ihr QNAP NAS unter dem Einfluss von Qlocker steht, unabhängig vom Verschlüsselungs-/Komprimierungsstatus, dürfen Sie das NAS nicht herunterfahren oder neu starten. Außerdem dürfen Sie das NAS-OS nicht aktualisieren. Bitte führen Sie den oben genannten manuellen Malware Remover-Scan durch und kontaktieren Sie sofort den technischen Support von QNAP. Wir überprüfen Ihr QNAP NAS, um festzustellen, ob Ihre Dateien wiederhergestellt werden können.
  • Infiziert, aber noch nicht aktiv
    1. Wenn Malware Remover Qlocker erkennt und von Ihrem QNAP NAS löscht und Ihre Dateien intakt sind, ergreifen Sie bitte so bald wie möglich die in den allgemeinen Empfehlungen aufgeführten Maßnahmen, um die NAS-Sicherheit zu erhöhen.
  • Nicht betroffen
    1. Wenn Malware Remover Qlocker auf Ihrem QNAP NAS nicht erkannt hat, sollten Sie dennoch die in den allgemeinen Empfehlungen aufgeführten Maßnahmen so schnell wie möglich ergreifen, um die NAS-Sicherheit zu erhöhen.

Allgemeine Empfehlungen

Um eine Verbindung zu Ihrem QNAP NAS über das Internet herzustellen, schlagen wir vor, dass Benutzer die von QNAP bereitgestellte myQNAPcloud Link-Funktion nutzen können. Für die Aktivierung von myQNAPcloud Link sind keine komplexen Konfigurationen erforderlich. Anderen Benutzern raten wir dringend, ihr QNAP NAS nicht direkt mit dem Internet zu verbinden. Dies dient dazu, die Sicherheit Ihres QNAP NAS zu erhöhen. Wir empfehlen Benutzern, den VPN-Server-Dienst auf ihrem Router zu aktivieren. Um über das Internet auf Ihr QNAP NAS zuzugreifen, stellen Sie zunächst eine VPN-Verbindung zu Ihrem Router her und verbinden sich dann über VPN mit dem QNAP NAS. Dies kann das NAS effektiv abhärten und die Wahrscheinlichkeit eines Angriffs verringern. Weitere Informationen hierzu finden Sie im QNAP Blog-Artikel: https://blog.qnap.com/nas-internet-connect-en/

Während wir unsere Untersuchung aktiv auf ein breiteres Spektrum ausweiten, gibt es eine Reihe von Maßnahmen, die unsere Benutzer ergreifen können, um ihr QNAP NAS zur Abwehr von Cyberangriffen sicherer zu machen. Diese Aktionen umfassen:

  • Aktivieren Sie die Einstellungen für die automatische Aktualisierung, oder suchen Sie regelmäßig manuell nach Betriebssystem- und App-Updates
  • Beziehen Sie sich auf die 3-2-1-"Sicherungsstrategie" und sichern Sie die auf dem QNAP NAS gespeicherten Dateien
    1. Bitte beachten Sie: Wenn Sie die einzige Kopie Ihrer Dateien auf dem QNAP NAS speichern, sind Ihre Daten, selbst wenn Sie Datenschutzfunktionen wie RAID und Snapshots aktiviert haben, nicht gegen alle möglichen Risiken geschützt. RAID schützt nur vor Datenträgerausfällen, und Snapshots bieten Schutz für das Szenario von Ransomware-Angriffen von Ihrem privaten Computer aus. Um sicherzustellen, dass Ihre Dateien geschützt sind, sichern Sie Ihre NAS-Daten oder sichern Sie die auf Ihrem QNAP NAS gespeicherte Sicherungsdatei.
  • Empfehlungen zu Sicherheitseinstellungen zur Erhöhung der NAS-Sicherheit finden Sie in der zweiten Hälfte dieses QNAP Blog-Artikels: https://blog.qnap.com/nas-internet-connect-en/
  • Melden Sie eine QNAP ID an und abonnieren Sie unsere Sicherheitshinweise, um unsere neuesten Informationen zu Sicherheitsupdates zu erhalten: https://account.qnap.com/

Dank an

An dieser Stelle möchten wir uns für den Beitrag von ZUSO, dem in Taiwan ansässigen Unternehmen für Informationssicherheit, bedanken, das das Problem gemeldet und bei der Reaktion auf den Vorfall geholfen hat. Wir werden weiterhin mit ZUSO und anderen Sicherheitsforschungsunternehmen/-teams zusammenarbeiten, um die Sicherheit und den Schutz aller QNAP Produkte zu verbessern.