image

"Honderden slachtoffers QNAP NAS-ransomware betalen losgeld"

zondag 25 april 2021, 08:17 door Redactie, 17 reacties

Ruim vijfhonderd eigenaren van een QNAP NAS die door ransomware werd versleuteld hebben elk honderden euro's losgeld betaald om hun data terug te krijgen, wat de criminelen 215.000 euro in vijf dagen heeft opgeleverd. De NAS-systemen raakten door middel van verschillende bekende kwetsbaarheden met de Qlocker-ransomware geïnfecteerd.

Deze ransomware versleutelt bestanden en eist 0,01 bitcoin voor het ontsleutelen van de data, wat op het moment van schrijven 410 euro is. De website Bleeping Computer ontdekte twintig bitcoin-wallets waar de aanvallers gebruik van maken. Daar is de afgelopen vijf dagen in totaal 5,25 bitcoin naar overgemaakt, wat suggereert dat 525 slachtoffers het gevraagde losgeld betaalden. Het gaat om een totaalbedrag van 215.000 euro.

Beveiligingsonderzoeker Jack Cable ontdekte een bug in de ransomware, waardoor hij het decryptiewachtwoord van 55 slachtoffers wist te achterhalen. Die konden zo kosteloos hun data ontsleutelen. De ransomwarecriminelen hebben de fout echter inmiddels verholpen.

QNAP heeft zelf een update voor de Malware Removal-tool uitgebracht waarmee de ransomware is te verwijderen en adviseert getroffen gebruikers om contact met het bedrijf op te nemen. Daarnaast wordt NAS-eigenaren opgeroepen om beveiligingsupdates voor de multimedia console, media streaming add-on en Hybrid Backup Sync te installeren, aangezien de aanvallers via kwetsbaarheden in deze software toegang weten te krijgen.

Reacties (17)
25-04-2021, 09:58 door Anoniem
Qnap adviseert sowieso om port 8080 niet te forwarden, maar een ander nummer.
Simpel gezegd, de webinterface moet niet meer vanaf internet toegangkelijk zijn via port 8080.
25-04-2021, 10:55 door Anoniem
Door Anoniem: Qnap adviseert sowieso om port 8080 niet te forwarden, maar een ander nummer.
Simpel gezegd, de webinterface moet niet meer vanaf internet toegangkelijk zijn via port 8080.
Hahaha.... alsof dat iets gaat uitmaken!
Laten ze liever adviseren je NAS niet aan internet te hangen...
25-04-2021, 11:49 door Anoniem
Door Anoniem: Qnap adviseert sowieso om port 8080 niet te forwarden, maar een ander nummer.
Simpel gezegd, de webinterface moet niet meer vanaf internet toegangkelijk zijn via port 8080.
Een web interface moet sowieso niet vanaf het internet toegankelijk zijn.
25-04-2021, 11:56 door Wim ten Brink
Tja, da's een risico met een NAS, he. Zeker als deze ook van buiten te benaderen is.
Probleem is vooral dat als het losgeld maar laag genoeg is er veel mensen zullen zijn die dan maar betalen in plaats van aangifte te doen. Het is anders gewoon veel teveel gedoe. En hoewel 410 euro best veel geld is, is vooral voor kleine bedrijven en sommige hobbyisten de data veel belangrijker dan dit.
Toch vind ik het vreemd dat dit soort fraude niet direct aangepakt kunnen worden omdat de bitcoin-adressen en alle gerelateerde transacties gewoon publiekelijk bekend zijn. Als deze adressen in een blacklist worden opgenomen en de transacties voor die adressen niet meer worden gevalideerd dan zou deze ellende vrij snel weer voorbij kunnen zijn. Lijkt mij, ten minste. Maakt niet uit van wie de wallet is, maar als je geblokkeerd bent dan zijn je bitcoins meteen waardeloos. Idem voor alle andere cryptomunten.
De blokkade kan dan weer opgeheven worden als de transacties zijn teruggedraaid door de eigenaar van die wallet. Zo zou Crypto met een mooi anti-fraude systeem worden uitgerust waardoor deze vorm van afpersing niet meer werkt...
25-04-2021, 12:00 door Wim ten Brink
Ik wil ook even opmerken dat veel mensen nog steeds denken dat Linux een veilig besturingssysteem is, terwijl NAS systemen veelal Linux gebruiken en achteraf kwetsbaar blijken te zijn voor dit soort aanvallen. Systemen zijn alleen veilig als de persoon achter het toetsenbord ook weet wat hij doet. Dat er zoveel NAS systemen kwetsbaar blijken te zijn geeft gewoon aan dat veel gebruikers zich niet bewust zijn van de gevaren...
Het zou tijd worden dat gebruikers eens de handleiding goed doorlezen. En eigenlijk zou iedere NAS met een uitgebreide, papieren handleiding geleverd moeten worden met grote letters in de hoop dat gebruikers deze ook gaan lezen en daarbij letten op tips betreffende beveiliging.
25-04-2021, 12:06 door Anoniem
Door Wim ten Brink: Ik wil ook even opmerken dat veel mensen nog steeds denken dat Linux een veilig besturingssysteem is, terwijl NAS systemen veelal Linux gebruiken en achteraf kwetsbaar blijken te zijn voor dit soort aanvallen. Systemen zijn alleen veilig als de persoon achter het toetsenbord ook weet wat hij doet. Dat er zoveel NAS systemen kwetsbaar blijken te zijn geeft gewoon aan dat veel gebruikers zich niet bewust zijn van de gevaren...
Het zou tijd worden dat gebruikers eens de handleiding goed doorlezen. En eigenlijk zou iedere NAS met een uitgebreide, papieren handleiding geleverd moeten worden met grote letters in de hoop dat gebruikers deze ook gaan lezen en daarbij letten op tips betreffende beveiliging.

Laatst een nieuwe NAS gekocht. een Qnap ( ben reageerder van 09:58)
Handleiding, ho maar.

Zelfde verhaal als 6 jaar geleden. Ja, zo lang heeft qnap support.
Aanmodderen met instellen, en dan met name de HD's.

Geen enkele melding of suggesties over veiligheidsproblemen tijdens de installatie.
25-04-2021, 12:33 door Anoniem
Qnap adviseert sowieso om port 8080 niet te forwarden, maar een ander nummer.
Simpel gezegd, de webinterface moet niet meer vanaf internet toegangkelijk zijn via port 8080.

Zoek je met Shodan naar de QNAP devices, op andere porten, en vervolgens infecteer je de devices. Als ransomware crimineel.
25-04-2021, 12:35 door karma4
Door Anoniem: Qnap adviseert sowieso om port 8080 niet te forwarden, maar een ander nummer.
Simpel gezegd, de webinterface moet niet meer vanaf internet toegangkelijk zijn via port 8080.
ALs je een ander nummer forward hangt het nog steeds aan het internet.
Je bent hooguit niet meer het eerste makkelijke doelwit. Gerichte aanvallen trekken zich niets van obfusactie aan.
25-04-2021, 12:55 door Anoniem
Door Anoniem:
Door Anoniem: Qnap adviseert sowieso om port 8080 niet te forwarden, maar een ander nummer.
Simpel gezegd, de webinterface moet niet meer vanaf internet toegangkelijk zijn via port 8080.
Een web interface moet sowieso niet vanaf het internet toegankelijk zijn.

Ligt er aan.
Als je NAS zich op een andere locatie / in een ander land bevindt dan jijzelf moet je wel.
Dan moet je wel een ijzersterk wachtwoord gebruiken.
25-04-2021, 14:08 door Anoniem
Door Wim ten Brink: Ik wil ook even opmerken dat veel mensen nog steeds denken dat Linux een veilig besturingssysteem is, terwijl NAS systemen veelal Linux gebruiken en achteraf kwetsbaar blijken te zijn voor dit soort aanvallen. .
Je maakt een denkfout. Het gaat meestal om besturingssystemen op basis van een Linux kernel (robuust en veilig). Dit soort producten wordt ook wel ee appliance genoemd. De fabrikant heeft dan zelf veel software toegevoegd of veranderd (bv software om software te updaten) om het besturingssysteem te complementeren. Het besturingssysteem van QNAP heeft QTS
De fabrikant is dan ook zelf verantwoordelijk voor het onderhoud van deze software. Je moet dus niet naar Linux wijzen maar naar de fabrikant QNAP
25-04-2021, 18:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Qnap adviseert sowieso om port 8080 niet te forwarden, maar een ander nummer.
Simpel gezegd, de webinterface moet niet meer vanaf internet toegangkelijk zijn via port 8080.
Een web interface moet sowieso niet vanaf het internet toegankelijk zijn.

Ligt er aan.
Als je NAS zich op een andere locatie / in een ander land bevindt dan jijzelf moet je wel.
Dan moet je wel een ijzersterk wachtwoord gebruiken.

Expose geen poorten naar buiten. Met uitzondering een poort zodat je met VPN naar je NAS kan verbinden en zo de rest kan regelen.
25-04-2021, 19:01 door Anoniem
Door Wim ten Brink: Ik wil ook even opmerken dat veel mensen nog steeds denken dat Linux een veilig besturingssysteem is, terwijl NAS systemen veelal Linux gebruiken en achteraf kwetsbaar blijken te zijn voor dit soort aanvallen. Systemen zijn alleen veilig als de persoon achter het toetsenbord ook weet wat hij doet. Dat er zoveel NAS systemen kwetsbaar blijken te zijn geeft gewoon aan dat veel gebruikers zich niet bewust zijn van de gevaren...
Het zou tijd worden dat gebruikers eens de handleiding goed doorlezen. En eigenlijk zou iedere NAS met een uitgebreide, papieren handleiding geleverd moeten worden met grote letters in de hoop dat gebruikers deze ook gaan lezen en daarbij letten op tips betreffende beveiliging.
Het probleem zit niet in Linux, maar in de mensen die geen veiligheidsupdates installeren.
Bovendien is het gewoon niet waar dat in de commerciële besturingssystemen er 1 uitspringt die veiliger is dan bijvoorbeeld Windows of MacOS. Alle OS-en in deze categorie hebben dezelfde veiligheidsclassificatie.
25-04-2021, 19:45 door Briolet
Door Wim ten Brink: Ik wil ook even opmerken dat veel mensen nog steeds denken dat Linux een veilig besturingssysteem is, terwijl NAS systemen veelal Linux gebruiken en achteraf kwetsbaar blijken te zijn voor dit soort aanvallen. Systemen zijn alleen veilig als de persoon achter het toetsenbord ook weet wat hij doet. Dat er zoveel NAS systemen kwetsbaar blijken te zijn geeft gewoon aan dat veel gebruikers zich niet bewust zijn van de gevaren...

Volgens mij gaat het hier niet om een gebruikersfout, maar om een intrinsieke fout in de software op de nas.

Dat het veiliger wordt als je de pagina niet aan het internet hangt is logisch, maar dat geldt voor elk besturingssysteem.
26-04-2021, 09:10 door Anoniem
Om te beginnen moet je zo'n ding trouw patchen.
Als je hem per se aan het Internet wil hangen, moet je hem heel aggressief patchen en de security bulletins in de gaten houden.
Maar je moet je eerst afvragen waarom hij zo nodig aan het Internet moet.
Dat moet je bij de installatie zelf aanzetten.

Ik heb al jaren een QNAP die niet aan het Internet hangt.
Desalniettemin patch ik hem zodra de updates uitkomen. Vervelend, maar such is life.
28-04-2021, 20:59 door Anoniem
Bizar verhaal dit, want mijn QNAP hangt dus NIET aan het internet en ik gebruik hem uberhaupt nauwelijks. Ik heb werkelijk geen enkel idee hoe dit device bij mij besmet kan zijn.
10-05-2021, 18:41 door Wim ten Brink
Door Anoniem:
Door Wim ten Brink: Ik wil ook even opmerken dat veel mensen nog steeds denken dat Linux een veilig besturingssysteem is, terwijl NAS systemen veelal Linux gebruiken en achteraf kwetsbaar blijken te zijn voor dit soort aanvallen. .
Je maakt een denkfout. Het gaat meestal om besturingssystemen op basis van een Linux kernel (robuust en veilig). Dit soort producten wordt ook wel ee appliance genoemd. De fabrikant heeft dan zelf veel software toegevoegd of veranderd (bv software om software te updaten) om het besturingssysteem te complementeren. Het besturingssysteem van QNAP heeft QTS
De fabrikant is dan ook zelf verantwoordelijk voor het onderhoud van deze software. Je moet dus niet naar Linux wijzen maar naar de fabrikant QNAP
Het valt wel mee met die denkfout, hoor...
Het probleem met Linux is namelijk dat je precies moet weten wat je doet en hoe het werkt. En helaas heeft ook de Linux kernel zoals die rechtstreeks van Torvalds Git repository komt ook gewoon bugs en security issues, net als alle andere software. Uiteindelijk worden ze wel ontdekt, hoewel er bugs zijn die al 15 jaar in de kernel zitten... (Zie https://nakedsecurity.sophos.com/2021/03/17/serious-security-the-linux-kernel-bugs-that-surfaced-after-15-years/ )
Het probleem is namelijk dat het niet helpt dat er een miljoen ogen meekijken met de code als de meeste van die ogen in de verkeerde richting kijken. Linux bestaat uit enorm veel regels code die voornamelijk in C is geschreven en lang niet altijd even leesbaar is. Sowieso heb je redelijk ervaren programmeurs nodig die de code kunnen beoordelen, waardoor veel van die ogen al afvallen. Daarnaast moet je voor sommige beveiligingsproblemen diepe kennis hebben over de hardware architectuur en de diverse protocollen waardoor er nog meer ogen wegvallen. Zodoende heeft ook de Linux kernel meer een soort schijn-veiligheid. Mensen vertrouwen er blindelings op en dat is het grootste probleem!
Maar goed, als je beseft dat alle software gewoon bugs bevat en beveiligingsproblemen kan hebben dan is het gewoon kiezen voor de minst kwade van allen. Kom je toch veelal weer bij Linux uit. Of FreeBSD. Of een ander niet-Windows systeem. Of Windows, want ook Windows is best veilig, tegenwoordig...
20-05-2021, 19:12 door Anoniem
beste,

Ik ben helaas ook getroffen door ransomware. Ik zie dat mensen betaald hebben voor de keys om alles terug te krijgen. Betekend dit dat je naar de site moet wat in het toegevoegde bestandje zit?
Vind het lastig om dit zo maar te doen. voor hetzelfde geldt krijg je nog meer ellende op je pc. Iemand ervaring met deze optie?

of zijn er ander mogelijkheden inmiddels?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.