De lieden achter de Qlocker ransomware hebben het wereldwijd opnieuw gemunt op Qnap nas- apparaten die op het internet zijn aangesloten. Qlocker dook eerder in de week van 19 april 2021 al op in de vorm een massale aanval, waarbij bestanden van slachtoffers na het binnendringen van hun nas-apparaten werden verplaatst binnen wachtwoord-beschermde 7-zip archieven met de .7z extensie.
Qnap waarschuwde dat de aanvallers gebruik maakten van de CVE-2021-28799 hard-coded credentials kwetsbaarheid in de HBS 3 Hybrid Backup Sync app om in te breken in de apparaten van gebruikers en hun bestanden te vergrendelen. Voor sommigen kwam deze waarschuwing echter veel te laat, temeer de aanvallers op dat moment reeds honderden gebruikers hadden afgeperst.
In totaal verloren getroffen Qnap-gebruikers ongeveer $ 350.000 binnen een maand na het betalen van het losgeld van 0,01 bitcoins (op dat moment ongeveer $ 500) om het wachtwoord te verkrijgen dat nodig was om hun gegevens te herstellen. De huidige Qlocker aanval begon op 6 januari en dropt losgeld-tekstbestanden genaamd !!!READ_ME.txt op besmette apparaten.
Voornoemde notes bevatten het Tor site adres (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion) dat slachtoffers dienen te bezoeken om meer informatie te krijgen over hoeveel ze zullen moeten betalen om de toegang tot hun bestanden terug te krijgen. Op de pagina's van Tor-slachtoffers die door BleepingComputer zijn gezien sinds deze nieuwe serie Qlocker-aanvallen begon, worden losgeldeisen getoond die variëren tussen 0,02 en 0,03 bitcoins.
Meer informatie over wat je moet doen als de QLocker2 ransomware campagne je heeft getroffen kun je vinden in dit support topic (het topic voor de 2021 Qlocker campagne kun je hier vinden). Daarnaast kun je ook de oude guide raadplegen over hoe je gegevens kunt herstellen van nas-apparaten die vorig jaar bij de aanvallen zijn aangetast.
Bron: BleepingComputer
