Спецпроекты

Киберпреступная группировка заработала четверть миллиона долларов за 5 дней с помощью скромности и обычного архиватора

Администратору Пользователю Интернет Веб-сервисы

Злоумышленники использовали стандартный архиватор 7zip в атаках на уязвимые сетевые накопители QNAP. С жертв требовали по $500, и многие согласились заплатить.

Без затей

Кибергруппировка Qlocker заработала $260 тыс. за пять дней, шифруя данные обычным архиватором. За возвращение доступа к данным преступники требовали весьма скромную для этого вида вымогательства сумму 0,01 биткоина, что по нынешнему курсу составляет около $500.

Обычно подобные группировки разрабатывают специализированные программы-шифровальщики, однако в данном случае злоумышленники явно решили не утруждаться ничем подобным.

Их мишенями стали сетевые накопители QNAP. Недавно разработчик этих устройств объявил об обнаружении и удалении аккаунта-бэкдора, оставшегося в программной оболочке по недосмотру программистов. К нему можно было получить доступ, зная нужную связку логина-пароля. Уязвимость получила индекс CVE-2021-28799. Недавнее обновление, выпущенное QNAP, её устраняет.

Однако в Сети остаётся большое количество уязвимых и доступных извне накопителей, не получивших никакого обновления. Группировка Qlocker развернула на них охоту. В первую очередь использовалась вышеупомянутая уязвимость. Кроме неё злоумышленники эксплуатировали уязвимость CVE-2020-36195 - «баг», позволяющий производить инъекцию SQL в мультимедийном аддоне для сетевых накопителей QNAP.

haker600.jpg
Кибергруппировка Qlocker заработала $260 тыс. за пять дней, шифруя данные обычным архиватором 7zip

В обоих случаях пользовательские файлы архивировались удалённо с помощью утилиты 7zip, а на архив устанавливался пароль, - за него злоумышленники и требовали выкуп.

Верный расчёт

Расчёт злоумышленников оказался верным: очень многие жертвы предпочли заплатить эту сумму за возвращение доступа к своим файлам. Участники Qlocker завели несколько биткоин-кошельков, которые экспертам издания Bleeping Computer мониторили несколько дней - с начала кампании 19 апреля 2021 г.

Общий доход злоумышленников составил 5,26 биткоина или около $258 тыс.

«Схема действительно рабочая, но только в силу нерасторопности владельцев сетевых накопителей QNAP, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Злоумышленники использовали уязвимости, для которых уже были выпущены патчи. На самом деле, любой архиватор действительно можно использовать как шифровальщик, но лишь при условии, что у атакующих есть доступ к целевой системе и нужные полномочия в её контексте. Говорить о том, что этот эпизод на что-то всерьёз повлияет и что все шифровальные группировки перейдут на использование типовых архивировочных утилит, не приходится».

Попытки противодействия

Эксперт по безопасности, студент Стэнфордского университета по имени Джек Кейбл (Jack Cable) обнаружил уязвимое место в схеме переводов платежей, которой пользовались Qlocker. Как оказалось, замена одной буквы со строчной на заглавную в идентификаторе транзакций, которым пользовались злоумышленники, приводит к тому, что система рассматривает транзакцию как завершённую и у жертвы появляется возможность вернуть доступ к своим файлам, не заплатив ничего.

Кейбл помог в общей сложности полусотне жертв Qlocker разархивировать свои данные, прежде чем злоумышленники устранили уязвимость.