Qlockerランサムウェアは、QNAP NASデバイスの脆弱性を悪用して1ヶ月で3,500万円(35万ドル)を荒稼ぎした後に活動停止したことがわかりました。
4月19日以降、世界中のQNAP NASデバイスを利用しているユーザは突然デバイスのファイルがパスワードで保護された7-zipアーカイブに置き換えられていることが分かり混乱に陥りました。
QNAPのユーザはファイルを取り戻すためにはTorサイトにアクセスして身代金を支払う必要があることを説明した身代金メモ「!!!READ_ME.txt」を発見。
攻撃者をQlockerと特定し、ファイルのパスワードを受け取るために0.01ビットコイン(約550ドル)を要求していました。
最近公開されたQNAPの脆弱性を利用して脅威者が攻撃を行ったことが判明し、この脆弱性を悪用して攻撃者は内蔵している7-zipアプリケーションを使用して被害者のファイルを遠隔操作で暗号化しました。
これらの単純な手法で、わずか1ヶ月間で数千台以上のデバイスを暗号化し強迫行為を行っていたことがわかりました。
Qlockerが活動停止
Qlocker Torのサイトには”This site will be closed soon “というメッセージが表示されたとのことです。
さらに被害者の報告によると、要求された0.01ビットコインを支払い、Qlocker TorサイトでトランザクションIDを送信した後、ファイルを取り戻すためには0.02ビットコインを追加で支払う必要があるとサイトに表示されたとのことです。
結局、上記のサイトは閉鎖されましたが、1日ほどして別のQlocker Torサイトが出現。Qlockerサポートトピックでの被害者の報告では、すべてのQlocker Torサイトがアクセスできなくなり、被害者は身代金を支払う方法がなくなってしまったとしています。
DarkSideランサムウェアによるColonial Pipelineへの攻撃と、それに続く米国の法執行機関による圧力の強化以来、DarkSideランサムウェアは活動停止し、REvilはターゲットを攻撃前に事前チェックを始めており、攻撃の対象を選ぶようになっています。
ランサムウェアグループ「DarkSide」消滅か。サーバーが押収、運営停止。身代金を返金予定
Qlockerのサイトの閉鎖が、法執行機関の活動が活発化することへの懸念と関連しているかどうかは定かではありません。
攻撃者は、ファイル復旧のために数百万ドルという高額な金額を要求するのではなく、わずか5万円(500ドル)に設定したため、多くの企業が身代金を支払ってファイルを復旧させることになりました。
Qlockerランサムウェアでは、被害者が交代で使用するビットコインアドレスが固定されていたため、身代金の支払いで受け取ったビットコインの数を追跡することができました。
22のQlockerのビットコインアドレスのうち、被害者がランサムウェアの代金として支払ったのは合計8.93258497ビットコインで、現在では353,708ドルの値がついています。
稼いだビットコインの数を身代金の支払い額である0.01ビットコインで割ると、身代金を支払った被害者は約893人になり、Qlockerが他のビットコインアドレスを使用していた場合、この身代金と被害者の金額はもっと多い可能性もあります。
Comments