NAS QNAP, il ransomware DeadBolt colpisce anche in Italia: pronto a crittografare tutti i dati

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ti_104362.html

Il ransomware DeadBolt sta crittografando i dati dei NAS QNAP connessi a Internet. L'azienda corre ai ripari forzando l'aggiornamento dei dispositivi all'ultimo firmware per limitare l'area di attacco.

Click sul link per visualizzare la notizia.

[Saturn]

Mi fiderei a lasciare (direttamente) esposto in internet un nas di qualunque produttore quanto a lasciare un maiale con i cocomeri...

...anzi...non li collego proprio alla rete esterna...

...saluti ai soliti cripto-st:onzi...

....ovviamente mi dispiace per chi si è ritrovato con i danni di questi farabutti, che spendano tutto in medicine.

[rebeyeah]

c'è un modo per disabilitare il nas al traffico internet e lasciarlo solo sulla rete lan, usando solo il classico modem / router? sarebbe sufficiente chiudere la porta 80?

chiedo umilmente da ignorante. io ho proprio un qnap al quale però non ho installato i servizi cloud perchè la mia connessione 4g non me lo permette (non ho possibilità di aprire le porte e ho un nat molto restringente)

[Klontz]

Io ho avuto NAS QNAP per oltre 10 anni, in coppia, uno perennemente online ed uno offline e sempre spento e che accendevo solo per i backup veri e propri una volta alla settimana. l'ho sostituito proprio l'anno scorso con l'arrivo del mac mini M1 + un TAS.
Comunque sia.. basta disabilitare l'accesso via web, porta 80 o 8080

[biffuz]

Molto utile non esporre i device su Internet, se poi tuo cugggggino si becca un "aggiornamento di firefox" che gli cripta tutta la casa.
Ormai abbiamo bisogno dei firewall pure dentro casa.

[igiolo]

Quote:

Originariamente inviato da rebeyeah

c'è un modo per disabilitare il nas al traffico internet e lasciarlo solo sulla rete lan, usando solo il classico modem / router? sarebbe sufficiente chiudere la porta 80?

chiedo umilmente da ignorante. io ho proprio un qnap al quale però non ho installato i servizi cloud perchè la mia connessione 4g non me lo permette (non ho possibilità di aprire le porte e ho un nat molto restringente)

disabiliti il upnp
e setti manualmente le impostazioni di rete, NON mettendo il gateway
eventualmente uccidi tutti i servizi sul nas inutili

[bagnino89]

Ma questo problema riguarda chi rendeva visibile il proprio NAS su Internet? Insomma, accessibile da remoto? O basta che il NAS possa accedere ad Internet, che so, per scaricare aggiornamenti?

[insane74]

istruzioni da parte di QNAP: https://www.qnap.com/en/security-new...mware-together

[insane74]

Quote:

Originariamente inviato da bagnino89

Ma questo problema riguarda chi rendeva visibile il proprio NAS su Internet? Insomma, accessibile da remoto? O basta che il NAS possa accedere ad Internet, che so, per scaricare aggiornamenti?

dovrebbe impattare solo chi rende accessibile il NAS da internet. di fatto lo esponi e quindi, sfruttando falle 0-day, possono "entrare", installare il cryptolocker di turno e fare il danno.
se non è esposto ad internet / non si attiva/usa myQNAPcloud non si dovrebbero correre rischi.

[bagnino89]

Quote:

Originariamente inviato da insane74

dovrebbe impattare solo chi rende accessibile il NAS da internet. di fatto lo esponi e quindi, sfruttando falle 0-day, possono "entrare", installare il cryptolocker di turno e fare il danno.
se non è esposto ad internet / non si attiva/usa myQNAPcloud non si dovrebbero correre rischi.

Non ho un NAS Qnap, ma in ogni caso il mio non lo tengo assolutamente accessibile da remoto, neanche via cloud.

Grazie per la risposta.

[insane74]

Quote:

Originariamente inviato da bagnino89

Non ho un NAS Qnap, ma in ogni caso il mio non lo tengo assolutamente accessibile da remoto, neanche via cloud.

Grazie per la risposta.

io ho QNAP dal 2016 (prima Synology) e non li ho mai esposti su internet.
se mi devo collegare dall'esterno vado di VPN.
sempre disattivato tutti quegli accrocchi per renderlo visibile "facilmente" da remoto.
troppo pericolosi.
ricordo anni fa che bastava una semplice ricerca di una parola su Google per avere un elenco di tutti i NAS Synology esposti su internet...

[Ginopilot]

Strano chiedano il riscatto in bitcoin

[insane74]

Quote:

Originariamente inviato da Svelgen

Esattamente.
Inutile attivare tutto, telnet compresa, e poi lamentarsi.
Qualcuno dirà: ma se mettono certi servizi, ci si aspetta di utilizzarli in tutta sicurezza. E invece purtroppo quanta più cianfrusaglia c'è attiva, tanto più si corre il rischio di finire in pasto a sti coglioni.
Attivare il cloud poi è la prima cazzata che uno potrebbe fare.

telnet mai. al max ssh e solo sulla LAN.

[insane74]

Quote:

Originariamente inviato da Svelgen

Io ho 2 NAS, di cui uno che fa da disaster recovery nel capanno atrezzi che ho in giardino.
Su quest'ultimo, ho disabilitato tutto, ma proprio tutto quello che non è essenziale al solo backup settimanale su rete locale. Anche il NAS stesso, è programmato per accendersi una sola volta alla settimana.
Sarò paranoico ma una volta adottata una soluzione che ti para il culo contro eventuali disastri naturali/ladri, è davvero da stupidi esporla su internet per farsi fottere i dati dall'altra parte del mondo e con l'kacker di turno, comodamente seduto sul divano.
Comunque hanno rotto il cazzo con sta cosa. E con le criptovalute poi, la situazione non ha fatto altro che peggiorare e peggiorerà sempre di più.

concordo.
il fatto è che i NAS, anche se non sono certo dispositivi "per tutti", sono diventati abbastanza comuni anche per l'utente poco pratico.
uno lascia i default (a volte pessimi!) o comunque usa il prodotto in modo "previsto" dal produttore, e si trova fregato per cose simili.
girano le scatole, anche perché spesso le persone "comuni" si affidano (vuoi per costi, vuoi per altri motivi) ad un solo dispositivo, convinti di aver le spalle coperte, e poi succedono 'sti macelli.

[Ombra77]

Soluzione 1:
basterebbe configurare un port forwarding sulla 80 per mitigare temporaneamente il problema.
Non conosco deadbolt come funzionamento intrinseco ma a naso c'è un qualche script/botnet/altro che esegue scansioni a tappeto di host con la 80 aperta, cercando quali di essi corrisponde ad un qnap e provando l'exploit. Ma ovviamente scansionare altre porte oltre alla 80 aumenterebbe esponenzialmente la difficoltà per gli stronzi, specialmente su porte non standard tipo 63999.
Come sopra, se fosse necessario avere il nas raggiungibile dall'esterno configurarlo su porte alte non standard per il momento potrebbe essere una qualche forma di protezione.

Soluzione 2 (preferibile ma c'è un po più da smanettare rispetto alla prima) escludere l'accesso esterno, configurare una vpn sul router o server dedicato e accedere con quella.

[TecnoPC]

Oltre che non attivare il DDSN, per aumentare la sicurezza, Qnap consiglia di disabilitare l'utente di default (ADMIN) e creane un altro per accedere al NAS e di fare Snapshot periodiche

[bonzoxxx]

Fare SEMPRE una copia offline dei dati perche un NAS non è un backup. Sempre detto e lo ribadisco.

[antonyb]

Ormai nulla è sicuro, io ho 2 back up scollegati, accendo la rete quando sono in casa e la uso, il nas se non mi serve è spento. Ormai non sto molto al pc ma c'è gente che lascia sempre tutto acceso e se ne va in vacanza senza avere un back up magari col nas aperto e poi si lamenta.