QNAP NAS デバイスに対する攻撃:Qlocker ランサムウェアの新種が観測されている

A new wave of Qlocker ransomware attacks targets QNAP NAS devices

2022/01/16 SecurityAffairs — 世界中の QNAP NAS デバイスを標的とした、ランサムウェア Qlocker の新たな波が 1月6日に始まり、感染したデバイス上に !!!READ_ME.txt というランサム・ノートを投下している。2021年5月に、台湾のベンダーである QNAP は、Qlocker ランサムウェアの感染を防ぐために、NAS デバイス上で動作する災害復旧アプリ HBS 3 (Hybrid Backup Sync) を更新するよう、顧客に対して警告を発した。

2021年4月末に専門家たちは、Qlocker と名付けられた新種のランサムウェアが、毎日のように数百台の QNAP NAS デバイスに感染している状況を警告した。この攻撃の背後にいる脅威アクターは、CVE-2021-28799 として追跡されている不適切な認証の脆弱性を悪用しており、NAS デバイスへのログインを可能にしていた。

QNAP が公開したセキュリティ・アドバイザリには、「QNAP NAS を標的としたランサムウェア・キャンペーンが、2021年4月19日の週に始まっている。Qlocker というランサムウェアは、脆弱性 CVE-2021-28799 を悪用して、HBS 3 (Hybrid Backup Sync) の特定バージョンを実行している QNAP NAS を攻撃している」と記されている。

ランサムウェア識別サービス ID-Ransomware を運営する Michael Gillespie の統計によると、この攻撃は 4月20日に初めて発見され、感染数は 1日あたり数百件に急増している。

このランサムウェアがデバイスに感染すると、NAS 上の全ファイルをパスワード保護された 7z アーカイブに移動させ、$550 の身代金の支払いが要求される。また、バックアップからデータ復元を阻止するためにスナップショットを削除し、感染した各フォルダにランサムメモ (!!!READ_ME.txt) を投下する。このランサムメモには、ランサムウェアの運営者の Tor サイトと連絡を取るようにとの指示が書かれている。

BleepingComputer によると、このランサムウェア・オペレーターは、0.02〜0.03 Bitcoin の範囲で身代金の支払いを要求している。また、BleepingComputer は、数十のランサムノートと暗号化されたファイルが、影響を受けた QNAP ユーザーから ID-Ransomware サービスに提出されたことを報告している。

このランサムウェア QLocker の新バージョンが、2022年6月1日に登場したようだ。これを QLocker2 と呼び、古いものを QLocker1 と呼ぶことにしよう。現時点では、新旧のバージョンでの相違点が判明していないが、感染後のユーザーは NAS に接続できなくなるようだ。BleepingComputer のフォーラムで公開されているサポート・トピックには、「最新のアプリやファームウェアも役に立たないようだ」と書かれている。

「また、QLocker1というランサムウェアが再び使用されているだけで、新しいバージョンが存在しないという可能性もあります。それが事実かどうかを確認します。また、以前の復旧方法がまだ機能するかどうかは不明ですが、旧バージョンに関する有用なリンクを紹介します。”

2021年12月には、QNAP の NAS デバイスを標的とした、ech0raix ランサムウェアの攻撃も始まっている。eCh0raix ランサムウェアは、2019年ころから活動しており、セキュリティ企業である Intezer と Anomali の専門家たちが、この NAS をターゲットにしたランサムウェアのサンプルを、別々に発見しているました。

一般的に、NAS サーバーは大量のデータを保存しているため、ハッカーにとって魅力的な標的となっている。このランサムウェアは、QNAP の保護が不十分な、または、脆弱な NAS サーバーを標的としており、脅威アクターによる、既知の脆弱性を利用した攻撃や、ブルートフォース攻撃などが観測されている。

Intezer が「QNAPCrypt」と呼び、Anomali が「eCh0raix」と呼ぶ、このランサムウェアはプログラミング言語 Go で書かれており、AES 暗号を用いてファイルを暗号化していく。そして、悪意のコードにより、暗号化されたファイルのファイル名拡張子「.encrypt」が付加される。

2021年5月に QNAP は、同社の NAS デバイスを標的としたランサムウェア eCh0raix による攻撃や、Roon Server のゼロデイ脆弱性を悪用する脅威アクターについて、顧客に警告を発している。また、QNAP は、脆弱なパスワードを用いて QNAP NAS デバイスに感染する、eCh0raix ランサムウェア攻撃が続いているとの情報も得ている。

独立系の専門家たちは、2021年4月19日〜4月26日に、eCh0raix の感染報告が急増していることを確認している。また、同時期に QNAP は、ランサムウェア AgeLocker による攻撃が、継続的に発生していることをユーザーに警告していた。また、2019年には Anomali の研究者が、Synology NAS デバイスに対する eCh0raix 攻撃の波を報告している。脅威のアクターたちは、Synology NAS デバイスに対してブルートフォース攻撃を仕掛けていた。

文中にもあるように QNAP NAS への攻撃件数が多いですね。関連するポストとしては、2021年8月の「QNAP と Synology の NAS を狙う eCh0raix ランサムウェアとは?」、2022年1月の「QNAP 警告:インターネットに露出する NAS がランサムウェアに狙われている」などがあります。また、2021年10月には、「エンタープライズ・ストレージ環境の調査:惨憺たる結果は他人事ではない」という記事もポストしていますので、よろしければ ご参照ください。

%d bloggers like this: