Киберпреступная группировка заработала четверть миллиона долларов за 5 дней с помощью обычного архиватора
Злоумышленники использовали стандартный архиватор 7zip в атаках на уязвимые сетевые накопители QNAP. С жертв требовали по $500, и многие согласились заплатить.
Без затей
Кибергруппировка Qlocker заработала $260 тыс. за пять дней, шифруя данные обычным архиватором. За возвращение доступа к данным преступники требовали весьма скромную для этого вида вымогательства сумму 0,01 биткоина, что по нынешнему курсу составляет около $500.
Обычно подобные группировки разрабатывают специализированные программы-шифровальщики, однако в данном случае злоумышленники явно решили не утруждаться ничем подобным.
Их мишенями стали сетевые накопители QNAP. Недавно разработчик этих устройств объявил об обнаружении и удалении аккаунта-бэкдора, оставшегося в программной оболочке по недосмотру программистов. К нему можно было получить доступ, зная нужную связку логина-пароля. Уязвимость получила индекс CVE-2021-28799. Недавнее обновление, выпущенное QNAP, ее устраняет.
Однако в Сети остается большое количество уязвимых и доступных извне накопителей, не получивших никакого обновления. Группировка Qlocker развернула на них охоту. В первую очередь использовалась вышеупомянутая уязвимость. Кроме нее злоумышленники эксплуатировали уязвимость CVE-2020-36195 - "баг", позволяющий производить инъекцию SQL в мультимедийном аддоне для сетевых накопителей QNAP.
В обоих случаях пользовательские файлы архивировались удаленно с помощью утилиты 7zip, а на архив устанавливался пароль, - за него злоумышленники и требовали выкуп.
Верный расчет
Расчет злоумышленников оказался верным: очень многие жертвы предпочли заплатить эту сумму за возвращение доступа к своим файлам. Участники Qlocker завели несколько биткоин-кошельков, которые экспертам издания Bleeping Computer мониторили несколько дней - с начала кампании 19 апреля 2021 г.
Общий доход злоумышленников составил 5,26 биткоина или около $258 тыс.
"Схема действительно рабочая, но только в силу нерасторопности владельцев сетевых накопителей QNAS, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Злоумышленники использовали уязвимости, для которых уже были выпущены патчи. На самом деле, любой архиватор действительно можно использовать как шифровальщик, но лишь при условии, что у атакующих есть доступ к целевой системе и нужные полномочия в ее контексте. Говорить о том, что этот эпизод на что-то всерьез повлияет и что все шифровальные группировки перейдут на использование типовых архивировочных утилит, не приходится".
Попытки противодействия
Эксперт по безопасности, студент Стэнфордского университета по имени Джек Кейбл (Jack Cable) обнаружил уязвимое место в схеме переводов платежей, которой пользовались Qlocker. Как оказалось, замена одной буквы со строчной на заглавную в идентификаторе транзакций, которым пользовались злоумышленники, приводит к тому, что система рассматривает транзакцию как завершенную и у жертвы появляется возможность вернуть доступ к своим файлам, не заплатив ничего.
Кейбл помог в общей сложности полусотне жертв Qlocker разархивировать свои данные, прежде чем злоумышленники устранили уязвимость.
