Киберпреступная группировка заработала четверть миллиона долларов за 5 дней с помощью скромности и обычного архиватора

0
57

Без затей

Кибергруппировка Qlocker заработала $260 тыс. за пять дней, шифруя данные обычным архиватором. За возвращение доступа к данным преступники требовали весьма скромную для этого вида вымогательства сумму 0,01 биткоина, что по нынешнему курсу составляет около $500.

Обычно подобные группировки разрабатывают специализированные программы-шифровальщики, однако в данном случае злоумышленники явно решили не утруждаться ничем подобным.

Их мишенями стали сетевые накопители QNAP. Недавно разработчик этих устройств объявил об обнаружении и удалении аккаунта-бэкдора, оставшегося в программной оболочке по недосмотру программистов. К нему можно было получить доступ, зная нужную связку логина-пароля. Уязвимость получила индекс CVE-2021-28799. Недавнее обновление, выпущенное QNAP, её устраняет.

Однако в Сети остаётся большое количество уязвимых и доступных извне накопителей, не получивших никакого обновления. Группировка Qlocker развернула на них охоту. В первую очередь использовалась вышеупомянутая уязвимость. Кроме неё злоумышленники эксплуатировали уязвимость CVE-2020-36195 — «баг», позволяющий производить инъекцию SQL в мультимедийном аддоне для сетевых накопителей QNAP.

ЧИТАТЬ ТАКЖЕ:  Федеральная таможня нашла строителя для главного ЦОДа за 800 млн руб. Проектировала его другая компания

Киберпреступная группировка заработала четверть миллиона долларов за 5 дней с помощью скромности и обычного архиватора

Кибергруппировка Qlocker заработала $260 тыс. за пять дней, шифруя данные обычным архиватором 7zip

В обоих случаях пользовательские файлы архивировались удалённо с помощью утилиты 7zip, а на архив устанавливался пароль, — за него злоумышленники и требовали выкуп.

Верный расчёт

Расчёт злоумышленников оказался верным: очень многие жертвы предпочли заплатить эту сумму за возвращение доступа к своим файлам. Участники Qlocker завели несколько биткоин-кошельков, которые экспертам издания Bleeping Computer мониторили несколько дней — с начала кампании 19 апреля 2021 г.

Общий доход злоумышленников составил 5,26 биткоина или около $258 тыс.

«Схема действительно рабочая, но только в силу нерасторопности владельцев сетевых накопителей QNAS, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Злоумышленники использовали уязвимости, для которых уже были выпущены патчи. На самом деле, любой архиватор действительно можно использовать как шифровальщик, но лишь при условии, что у атакующих есть доступ к целевой системе и нужные полномочия в её контексте. Говорить о том, что этот эпизод на что-то всерьёз повлияет и что все шифровальные группировки перейдут на использование типовых архивировочных утилит, не приходится».

ЧИТАТЬ ТАКЖЕ:  Подрывник здания ФСБ в компьютерной игре вышел из тюрьмы

Попытки противодействия

Эксперт по безопасности, студент Стэнфордского университета по имени Джек Кейбл (Jack Cable) обнаружил уязвимое место в схеме переводов платежей, которой пользовались Qlocker. Как оказалось, замена одной буквы со строчной на заглавную в идентификаторе транзакций, которым пользовались злоумышленники, приводит к тому, что система рассматривает транзакцию как завершённую и у жертвы появляется возможность вернуть доступ к своим файлам, не заплатив ничего.

Кейбл помог в общей сложности полусотне жертв Qlocker разархивировать свои данные, прежде чем злоумышленники устранили уязвимость.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь