NAS QNAP, il ransomware DeadBolt colpisce anche in Italia: pronto a crittografare tutti i dati

Si chiama DeadBolt il nuovo grave pericolo per i NAS di QNAP collegati a Internet, tanto che l'azienda sta attuando importanti contromisure. L'azienda taiwanese sta infatti forzando l'aggiornamento dei dispositivi (anche se gli update automatici sono disabilitati) all'ultimo firmware disponibile per chiudere, o quantomeno mitigare, la vulnerabilità e mettere al riparo i clienti da un ransomware che sta crittografando i loro dati sui NAS. Sembra siano più di 3600 le persone che si sono trovate davanti alla spiacevole sorpresa, residenti principalmente in Italia, Stati Uniti, Francia, Taiwan e UK.

Gli attacchi sono partiti il 25 gennaio, con i primi dispositivi QNAP che si sono ritrovati improvvisamente i file crittografati e i nomi modificati dall'aggiunta dell'estensione ".deadbolt". Come ricostruito da Bleeping Computer, anziché inserire dei file con la richiesta di riscatto in ogni cartella del dispositivo, i malintenzionati sono riusciti a modificare la pagina di accesso del NAS affinché mostri il messaggio "WARNING: Your files have been locked by DeadBolt".

La schermata informa la vittima che per decrittare i file non deve far altro che pagare 0,03 Bitcoin, circa 980 euro, a un indirizzo Bitcoin unico. Dopo il pagamento del riscatto, i malintenzionati effettuano una successiva transazione allo stesso indirizzo che include la chiave di decrittazione da inserire nell'apposita schermata. 

Interpellata in merito, QNAP ha detto che gli utenti possono bypassare la schermata del riscatto e ottenere l'accesso alla propria pagina di amministrazione tramite gli URL http://nas_ip:8080/cgi-bin/index.cgi o https://nas_ip/cgi-bin/index.cgi. Parallelamente, gli utenti QNAP sono invitati a disconnettere i propri dispositivi da Internet e proteggerli con un firewall.

Per ridurre l'area di attacco, QNAP ha preso la decisione di forzare l'update dei NAS all'ultimo firmware, anche se non è chiaro se ciò sia del tutto risolutivo. "Stiamo cercando di aumentare la protezione contro Deadbolt. [...] Ai tempi di Qlocker molte persone sono state infettate dopo aver corretto la vulnerabilità. In effetti, l'intero focolaio si è scatenato dopo il rilascio della patch. Ma molte persone non applicano le patch di sicurezza lo stesso giorno o anche la stessa settimana in cui vengono rilasciate. E questo rende molto più difficile fermare una campagna ransomware".

"Lavoreremo su patch/miglioramenti di sicurezza contro Deadbolt e speriamo che vengano applicati immediatamente. So che ci sono tesi sul fatto che dovremmo farlo o meno (forzare l'aggiornamento automatico, ndr). È una decisione difficile da prendere. Ma l'abbiamo fatto a causa di Deadbolt e del nostro desiderio di fermare questo attacco il prima possibile", ha dichiarato un rappresentante dell'azienda su Reddit.

I malintenzionati non se la sono presa solo con i possessori dei NAS, ma anche con QNAP stessa, richiedendo il pagamento di 5 Bitcoin (160 mila euro circa) per rivelare tutti i dettagli della falla. Si dicono pronti anche a vendere a QNAP la chiave di decrittazione principale e le informazioni zero-day per 50 Bitcoin, ovvero circa 1,6 milioni di euro.