상세 컨텐츠

본문 제목

Qlocker 랜섬웨어, HBS 취약점 악용해 QNAP NAS 기기 해킹해

국내외 보안동향

by 알약4 2021. 5. 24. 14:00

본문

 

 

Qlocker ransomware leverages HBS flaw to infect QNAP NAS devices

 

대만의 제조업체인 QNAPQlocker 랜섬웨어 공격을 막기 위해 NAS 기기에서 실행되는 HBS 3 재해 복구 애플리케이션을 업데이트해야 한다고 고객들에게 경고했습니다.

 

지난 4월 말, 전문가들은 하루에 수백 대의 QNAP NAS 기기를 감염시키는 Qlocker라는 새로운 랜섬웨어 변종을 발견했습니다.

 

이 공격을 실행한 공격자는 CVE-2021-28799로 등록된 부적절한 인증 취약점을 악용하여 NAS 기기에 로그인할 수 있었습니다.

 

이에 대해 QNAP에서 발행한 에서는 아래와 같이 언급되었습니다.

 

“QNAP NAS기기를 노리는 랜섬웨어 캠페인은 20214월 셋째 주에 시작되었습니다. Qlocker로 알려진 랜섬웨어는 CVE-2021-28799 취약점을 악용하여 HBS 3 (Hybrid Backup Sync)의 특정 버전을 실행하는 QNAP NAS를 공격했습니다.”

 

랜섬웨어 식별 서비스인 ID-Ransomware를 만든 Michael Gillespie가 제공한 통계에 따르면, 이 공격은 420일 처음 발견되었으며 감염 건수는 하루에 수백 건으로 급격히 증가했습니다.

 

이 랜섬웨어는 기기를 감염시키는데 성공하면 NAS 내 모든 파일을 암호로 보호된 7z 파일로 압축시킨 후 랜섬머니로 약 550 달러를 요구합니다. 이후 데이터 복구를 방지하기 위한 복원 지점을 삭제하고, 암호화된 파일이 포함된 각 폴더에 랜섬노트(!!!READ_ME.txt)를 드롭합니다.

 

QNAP은 아래 HBS 3 버전에서 취약점을 해결했습니다.

 

QTS 4.5.2: HBS 3 v16.0.0415 및 이후 버전

QTS 4.3.6: HBS 3 v3.0.210412 및 이후 버전

QTS 4.3.3 / 4.3.4: HBS 3 v3.0.210411 및 이후 버전

QuTS hero h4.5.1: HBS 3 v16.0.0419 및 이후 버전

QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419 및 이후 버전

 

HBS 2 HBS 1.3을 사용하는 NAS 기기는 이 취약점에 영향을 받지 않습니다.

 

현재 Qlocker Tor 사이트는 운영이 중단되었으며, 랜섬웨어 운영자는 작업을 중단한 것으로 보입니다.

 

지난주, QNAP은 공격자들이 Roon Server 제로데이 취약점을 악용하고 eCh0raix 랜섬웨어로 NAS 기기를 공격 중이라 고객들에 경고했습니다또한 이달 초에는 NAS 기기를 노리는 AgeLocker 랜섬웨어 공격에 대해 경고했습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/118179/malware/qlocker-ransomware-qnap-nas.html

https://www.qnap.com/en/security-advisory/QSA-21-12

관련글 더보기

댓글 영역