Теперь за восстановление файлов злоумышленники требуют больше, чем во время предыдущей кампании.

Операторы вымогательского ПО Qlocker возобновили атаки на подключенные к интернету сетевые хранилища (NAS) QNAP.

Предыдущая масштабная кампания по заражению QNAP вымогателем началась в апреле 2021 года. Злоумышленники взламывали сетевые хранилища и переносили файлы своих жертв в защищенные паролем архивы 7-zip с расширением .7z.

В ходе апрельских атак эксплуатировалась уязвимость CVE-2021-28799 (вшитые учетные данные в приложении HBS 3 Hybrid Backup Sync). В общей сложности пользователи QNAP за месяц заплатили вымогателям около $350 тыс. выкупа (за восстановление доступа к файлам злоумышленники требовали 0,01 биткойна, что на то время составляло порядка $500).

Новая кампания Qlocker началась 6 января. После заражения на компьютерах жертв появляется текстовый файл с требованием выкупа. В записке содержится адрес Tor-сайта (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion), который жертва должна посетить, чтобы получить инструкции о дальнейших действиях. На этот раз размер выкупа составляет 0,02-0,03 биткойна.

С начала вредоносной кампании 6 января в сервис ID-Ransomware было добавлено несколько десятков зашифрованных Qlocker файлов.

Источник: securitylab