Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 31 Gennaio 2022 07:41
QNAP ha forzato l’aggiornamento dei dispositivi NAS (Network-Attached Storage) dei clienti per proteggerli dal ransomware DeadBolt, che ha crittografato più di 3.600 dispositivi.
Gli operatori di ransomware stanno sfruttando una vulnerabilità zero-day per compromettere i dispositivi QNAP e crittografare i file con DeadBolt, che aggiunge l’estensione .deadbolt ai nomi dei file.
Il ransomware sostituisce anche la normale pagina di accesso HTML con una richiesta di riscatto per un importo di 0,03 bitcoin (circa 1,1 mila dollari) in cambio di una chiave di decrittazione e recupero dati.
Il gruppo ransomware DeadBolt stava cercando di vendere tutti i dettagli della presunta vulnerabilità zero-day in QNAP per 5 bitcoin (circa 185.000 dollari). I criminali informatici erano anche disposti a vendere a QNAP la chiave di decrittazione principale in grado di decrittografare tutti i dispositivi attaccati e fornire informazioni sulla presunta vulnerabilità zero-day per 50 bitcoin (circa 1,85 milioni di dollari), come abbiamo visto in un precedente articolo.
Immediatamente dopo l’attacco, QNAP ha iniziato ad avvertire i clienti di proteggere i propri dispositivi NAS connessi a Internet aggiornando il software QTS all’ultima versione e disabilitando UPnP e port forwarding.
Più tardi, sempre quel giorno, QNAP ha intrapreso un’azione più drastica e ha forzato un aggiornamento del firmware per tutti i dispositivi NAS dei clienti all’ultima versione 5.0.0.1891, rilasciata il 23 dicembre 2021.
Secondo i clienti QNAP e gli amministratori di sistema, QNAP sta forzando gli aggiornamenti del firmware sui dispositivi anche quando gli aggiornamenti automatici sono disabilitati. Tuttavia, l’aggiornamento non è andato liscio poiché le connessioni iSCSI ai dispositivi hanno smesso di funzionare per alcuni utenti.
Nel frattempo, alcuni utenti hanno acquistato una chiave di decrittazione ed erano in fase di ripristino dei dati.
Hanno scoperto che l’aggiornamento del firmware rimuoveva anche l’eseguibile del ransomware e la schermata del riscatto utilizzata per avviare la decrittazione. Ciò ha impedito loro di continuare il processo di de crittografia dopo il completamento dell’aggiornamento del dispositivo.
RedazioneLa saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
