DeadBolt: il RANSOMWARE che colpisce i NAS non aggiornati

Dopo gli attacchi dei ransomware Qlocker, AgeLocker e eCh0raix (ransomware che utilizza metodi non comuni per penetrare e crittografare i dati dell’utente), la più recente minaccia in circolazione che colpisce i NAS QNAP, si chiama DeadBolt: un ransomware che è in grado di crittografare i dati dei NAS con firmware e software di sistema non aggiornati e connessi a Internet. L’attacco è andato a buon fine in Italia, Stati Uniti, Francia, Taiwan e UK per un totale di oltre 3600 dispositivi colpiti.

 

Il NAS (Network Attached Storage) è un dispositivo collegato alla rete che permette agli utenti collegati di accedere e condividere una memoria di massa, costituita da uno o più hard disk. QNAP è specializzata in soluzioni NAS commerciali per privati e aziende ed è una tra le più grandi e diffuse multinazionali.

 

Come agisce DeadBolt?

I primi attacchi si sono verificati il 25 gennaio e i file dei clienti QNAP colpiti sono stati crittografati e rinominati con l’estensione “.deadbolt”.

Invece che inserire nelle cartelle del dispositivo dei file con la richiesta di riscatto, gli hacker sono riusciti a modificare la pagina di accesso del NAS con una schermata che riporta il messaggio “AVVERTENZA: i tuoi file sono stati bloccati da DeadBolt” e che richiede un pagamento di 0,03 Bitcoin, circa 980 euro, a un indirizzo wallet differente per ogni vittima. Se il pagamento del riscatto viene effettuato, la successiva transazione che verrà eseguita da parte dei cybercriminali includerà la chiave di decrittazione da inserire nella schermata.

Vogliamo specificare ancora una volta che il pagamento di un riscatto non comporta automaticamente la ricezione della chiave di decrittazione, essendo attività illecite e quindi senza la presenza di alcuna garanzia, è sempre sconsigliato prendere questo tipo di accordi.

Oltre al riscatto ai clienti colpiti, gli hacker hanno richiesto alla stessa QNAP il pagamento di 5 Bitcoin, che equivalgono a circa 160 mila euro per rivelare i dettagli della falla e sono inoltre disposti a vendere a QNAP la chiave di decrittazione e le informazioni zero-day al costo di 50 Bitcoin, circa 1,6 milioni di euro.

 

Come difendersi?

Per contrastare questo attacco, QNAP ha consigliato agli utenti di disconnettere i propri dispositivi e affidarsi alla protezione di un firewall e ha inoltre fornito due URL: http://nas_ip:8080/cgi-bin/index.cgi o https://nas_ip/cgi-bin/index.cgi per bypassare la schermata di richiesta del riscatto e ottenere l’accesso alla propria pagina di amministrazione. Durante l’elaborazione di patch e miglioramenti di sicurezza contro DeadBolt, QNAP ha inoltre deciso di forzare l’update dei NAS.

Il 27 gennaio è stata rilasciata la versione patchata del software di sistema rinominata “versione consigliata”: abilitando l’aggiornamento automatico alle “versioni consigliate” il sistema si aggiornerà automaticamente migliorando sicurezza e protezione, limitando il rischio di attacchi.

Grazie a questa soluzione, in pochi giorni il numero di dispositivi infettati è diminuito a circa 920.

 

QNAP ha affermato di aver sistemato la falla RCE all’origine dell’attacco con il firmware 5.0.0.1891 e consigliato di passare alle seguenti versioni di QTS e QuTS hero:

  • QTS 5.0.0.1891 build 20211221 e successiva
  • QTS 4.5.4.1892 build 20211223 e successiva
  • QuTS hero h5.0.0.1892 build 20211222 e successiva
  • QuTS hero h4.5.4.1892 build 20211223 e successiva
  • QuTScloud c5.0.0.1919 build 20220119 e successiva