Le rançongiciel Qlocker cible à nouveau les appareils NAS QNAP.

/ Phishing, Piratage, Ransomware / Par / 2 minutes de lecture
5/5 - (1 vote)

Le rançongiciel Qlocker cible à nouveau les appareils NAS QNAP.

Après le succès de la campagne massive du rançongiciel Qlocker au printemps 2021, une nouvelle campagne vient de débuter en début d’année 2022. Ce sont généralement les PME et TPE qui en sont la cible car elles n’ont pas toujours un service informatique avec un expert sécurité.

Les pirates espèrent toucher les appareils NAS QNAP qui n’ont pas encore effectuer les mises à jour qui corrigent certaines failles de sécurité (CVE-2020-2509 et CVE-2020-36195). Les vulnérabilités permettent à un attaquant de provoquer une exécution de code arbitraire à distance. La méthode est bien rodée et le chiffrement s’effectue à distance sur les appareils des entreprises en exécutant le programme de compression et d’archivage 7-Zip.

Le procédé est rapide et ne nécessite aucun developpement de programme ou d’écriture de script particulier et  de charge utile d’exploit. Dés lors, tous les fichiers sont protégés avec un mot de passe basé sur un chiffrement fort AES-256 et communiqué seulement en échange d’une rançon en cryptomonnaie.

Le ransomware Qlocker revient pour cibler les appareils NAS QNAP dans le monde entier. Les acteurs de la menace à l’origine du rançongiciel Qlocker ciblent une fois de plus les périphériques de stockage en réseau QNAP (NAS) exposés à Internet dans le monde entier. Qlocker a précédemment ciblé les clients de QNAP dans une campagne massive de rançongiciels qui a débuté la semaine du 19 avril, déplaçant les fichiers des victimes dans des archives 7-zip protégées par mot de passe avec l’extension .7z après avoir violé leurs appareils NAS. (Sources)

Virus QLOCKER – Comment déchiffrer vos fichiers de votre NAS QNAP ? Vous avez un NAS de la marque QNAP et vos fichiers ont un format bizarre en .7z. Vous êtes sans doute victime du virus QLOCKER qui s’attaque aux NAS QNAP. Heureusement il existe des manipulations pour trouver la clé permettant de déchiffrer vos données. Voici la procédure. (Sources)


Un serveur de stockage en réseau, également appelé stockage en réseau NAS, boîtier de stockage en réseau ou plus simplement NAS, est un serveur de fichiers autonome, relié à un réseau, dont la principale fonction est le stockage de données en un volume centralisé pour des clients réseau hétérogènes. Le NAS est souvent comparé au service de stockage et de partage de copies de fichiers locaux en ligne proposé par Dropbox. Ce qui fait la particularité du NAS, c'est son gros volume de stockage  et son partage avec de multiples appareils. Les solutions de serveurs NAS sont largement représentées par les entreprises taïwanaises Synology et QNAP. Depuis 2020, les serveurs NAS font l'objet de cyberattaques qui se propagent via des campagnes de phishing afin de diffuser des charges utiles de rançongiciels comme ECh0raix.


Qnap Systems, Inc. est un constructeur informatique basé à Taïwan et spécialisé dans les solutions de stockage réseau pour les particuliers et les entreprises. En se concentrant sur les innovations dans les domaines du stockage, du réseau et de la vidéo intelligente, QNAP présente maintenant une solution NAS cloud révolutionnaire qui s’intègre dans un logiciel innovant basé sur un abonnement et un écosystème de canaux de service polyvalent.


Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et de donnent pas la clé de déchiffrement après la rançon payée.


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir des droits d'administrateur afin d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif.


Une crypto-monnaie, dite aussi cryptodevise ou monnaie cryptographique, est une monnaie électronique utilisable sur un réseau informatique de pair à pair ou décentralisé, fondée sur les principes de la cryptographie, que l'on peut émettre soi-même et qui permet de régler des transactions. Aujourd'hui, toutes les crypto-monnaies sont des monnaies alternatives, car elles n'ont de cours légal dans aucun pays. Les crypto-monnaies utilisent un système de validation par preuve de travail pour les protéger des contrefaçons électroniques. De nombreuses crypto-monnaies ont été développées mais la plupart sont similaires et dérivent de la première implémentation complète : le Bitcoin.


L’hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. En effet, le plus souvent, une copie exacte d'un site internet est réalisée dans l'optique de faire croire à la victime qu'elle se trouve sur le site internet officiel où elle pensait se connecter. La victime va ainsi rentrer ses codes personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi accès aux données personnelles de la victime, et par exemple dans le cadre d'un jeu, pourra dérober tout ce que la victime possède sur le jeu.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

Share
Tweet
whatsapp
Share
Pin it

A propos de l'auteur

Nicolas Coolman est un expert en informatique et en sécurité informatique français bien connu. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables. Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows . Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.

Publications similaires

Retour en haut