QNAP ha forzato l’aggiornamento dei dispositivi NAS (Network-Attached Storage) dei clienti per proteggerli dal ransomware DeadBolt, che ha crittografato più di 3.600 dispositivi.
Gli operatori di ransomware stanno sfruttando una vulnerabilità zero-day per compromettere i dispositivi QNAP e crittografare i file con DeadBolt, che aggiunge l’estensione .deadbolt ai nomi dei file.
Il ransomware sostituisce anche la normale pagina di accesso HTML con una richiesta di riscatto per un importo di 0,03 bitcoin (circa 1,1 mila dollari) in cambio di una chiave di decrittazione e recupero dati.
Il gruppo ransomware DeadBolt stava cercando di vendere tutti i dettagli della presunta vulnerabilità zero-day in QNAP per 5 bitcoin (circa 185.000 dollari). I criminali informatici erano anche disposti a vendere a QNAP la chiave di decrittazione principale in grado di decrittografare tutti i dispositivi attaccati e fornire informazioni sulla presunta vulnerabilità zero-day per 50 bitcoin (circa 1,85 milioni di dollari), come abbiamo visto in un precedente articolo.
Immediatamente dopo l’attacco, QNAP ha iniziato ad avvertire i clienti di proteggere i propri dispositivi NAS connessi a Internet aggiornando il software QTS all’ultima versione e disabilitando UPnP e port forwarding.
Più tardi, sempre quel giorno, QNAP ha intrapreso un’azione più drastica e ha forzato un aggiornamento del firmware per tutti i dispositivi NAS dei clienti all’ultima versione 5.0.0.1891, rilasciata il 23 dicembre 2021.
Secondo i clienti QNAP e gli amministratori di sistema, QNAP sta forzando gli aggiornamenti del firmware sui dispositivi anche quando gli aggiornamenti automatici sono disabilitati. Tuttavia, l’aggiornamento non è andato liscio poiché le connessioni iSCSI ai dispositivi hanno smesso di funzionare per alcuni utenti.
Nel frattempo, alcuni utenti hanno acquistato una chiave di decrittazione ed erano in fase di ripristino dei dati.
Hanno scoperto che l’aggiornamento del firmware rimuoveva anche l’eseguibile del ransomware e la schermata del riscatto utilizzata per avviare la decrittazione. Ciò ha impedito loro di continuare il processo di de crittografia dopo il completamento dell’aggiornamento del dispositivo.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
