상세 컨텐츠

본문 제목

Qlocker 랜섬웨어, 7zip을 사용하여 QNAP 기기 암호화해

국내외 보안동향

by 알약4 2021. 4. 22. 09:00

본문

 

 

Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices

 

전 세계 QNAP 기기를 노리는 대규모 랜섬웨어 캠페인이 진행 중인 것으로 나타났습니다. 이 랜섬웨어는 사용자의 파일을 비밀번호로 보호된 7zip 압축 파일에 저장합니다.

 

이 랜섬웨어는 Qlocker라 명명되었으며, 2021419일부터 QNAP 기기를 노리기 시작했습니다.

 

그 이후로 포럼에서 엄청난 제보를 받았으며, ID-Ransomware 사이트에도 피해자의 제보가 급증했습니다.

 

Bleeping Computer Qlocker 지원 토픽 내 피해자들의 제보에 따르면, 이 공격은 QNAP 기기의 파일을 비밀번호로 보호된 압축 파일로 만들기 위해 7zip 프로그램을 사용합니다.

 

파일이 암호화되는 동안, 해당 QNAP 리소스 모니터는 7zip의 커맨드라인 실행 파일인 수 많은 ‘7z’ 프로세스를 표시합니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/>

<QNAP 리소스 모니터에서 확인할 수 있는 실행 중인 7zip>

 

 

랜섬웨어 작업이 끝나면 QNAP 기기의 파일은 .7z 확장자로 끝나는 비밀번호로 보호된 7-zip 아카이브에 저장됩니다.

 

피해자가 해당 압축파일 내 파일을 추출하기 위해서는 공격자만 알 수 있는 암호를 입력해야 합니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/>

<비밀번호로 보호된 7zip 아카이브 파일>

 

 

QNAP 기기가 암호화된 후, 피해자는 랜섬웨어의 Tor 지불 사이트에 로그인하는데 사용할 수 있는 고유한 클라이언트 키를 포함하는 '!!!READ_ME.txt' 랜섬노트를 받게 됩니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/>

<Qlocker 랜섬노트>

 

  

Bleeping Computer에서 확인한 Qlocker 랜섬노트에서는 모든 피해자가 압축파일의 비밀번호를 얻기 위해 0.01 비트코인 약 $557.74를 지불할 것을 요구받았습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/>

<Qlocker Tor 지불 사이트>

 

 

기기에서 ‘7z’ 프로세스가 활성화되어 있는 동안, SSH 또는 Telnet을 통해 기기에 연결해 비밀번호를 복구해내는 작업이 가능할 수 있습니다.

 

콘솔에 로그인 하면 ps –ef 명령어를 실행하여 파일을 압축하는데 사용한 비밀번호를 포함한 7z 프로그램의 커맨드라인 인수를 확인할 수 있습니다.

 

QNAP, 공격자가 최근 발견된 취약점을 사용한다고 추측해

 

QNAP은 최근 원격 공격자가 기기에 대한 전체 접근 권한을 얻고 랜섬웨어를 실행하도록 허용할 수 있는 치명적인 취약점을 수정했습니다.

 

QNAP은 지난 416일 아래 취약점 2가지를 수정했습니다.

 

- CVE-2020-2509: QTS  QuTS hero의 명령 인젝션 취약점
- CVE-2020-36195: 멀티미디어 콘솔 및 미디어 스트리밍 애드온 내 SQL 인젝션 취약점

 

QNAP Bleeping Computer 측에 Qlocker가 취약한 기기에서 랜섬웨어를 실행하기 위해 CVE-2020-36195 취약점을 악용하는 것으로 추측된다고 설명했습니다.

 

따라서 QTS, 멀티미디어 콘솔, 미디어 스트리밍 애드온을 최신 버전으로 업그레이드 할 것을 권장합니다.

 

이 방법으로 파일을 복구할 수는 없지만, 향후 공격으로부터 보호받을 수는 있습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/

관련글 더보기

댓글 영역