NAS QNAP, il ransomware DeadBolt colpisce anche in Italia: pronto a crittografare tutti i dati

NAS QNAP, il ransomware DeadBolt colpisce anche in Italia: pronto a crittografare tutti i dati

Il ransomware DeadBolt sta crittografando i dati dei NAS QNAP connessi a Internet. L'azienda corre ai ripari forzando l'aggiornamento dei dispositivi all'ultimo firmware per limitare l'area di attacco.

di pubblicata il , alle 14:01 nel canale Sicurezza
QNAPNAS Aziendali
 

Si chiama DeadBolt il nuovo grave pericolo per i NAS di QNAP collegati a Internet, tanto che l'azienda sta attuando importanti contromisure. L'azienda taiwanese sta infatti forzando l'aggiornamento dei dispositivi (anche se gli update automatici sono disabilitati) all'ultimo firmware disponibile per chiudere, o quantomeno mitigare, la vulnerabilità e mettere al riparo i clienti da un ransomware che sta crittografando i loro dati sui NAS. Sembra siano più di 3600 le persone che si sono trovate davanti alla spiacevole sorpresa, residenti principalmente in Italia, Stati Uniti, Francia, Taiwan e UK.

Gli attacchi sono partiti il 25 gennaio, con i primi dispositivi QNAP che si sono ritrovati improvvisamente i file crittografati e i nomi modificati dall'aggiunta dell'estensione ".deadbolt". Come ricostruito da Bleeping Computer, anziché inserire dei file con la richiesta di riscatto in ogni cartella del dispositivo, i malintenzionati sono riusciti a modificare la pagina di accesso del NAS affinché mostri il messaggio "WARNING: Your files have been locked by DeadBolt".

La schermata informa la vittima che per decrittare i file non deve far altro che pagare 0,03 Bitcoin, circa 980 euro, a un indirizzo Bitcoin unico. Dopo il pagamento del riscatto, i malintenzionati effettuano una successiva transazione allo stesso indirizzo che include la chiave di decrittazione da inserire nell'apposita schermata. 

Interpellata in merito, QNAP ha detto che gli utenti possono bypassare la schermata del riscatto e ottenere l'accesso alla propria pagina di amministrazione tramite gli URL http://nas_ip:8080/cgi-bin/index.cgi o https://nas_ip/cgi-bin/index.cgi. Parallelamente, gli utenti QNAP sono invitati a disconnettere i propri dispositivi da Internet e proteggerli con un firewall.

Per ridurre l'area di attacco, QNAP ha preso la decisione di forzare l'update dei NAS all'ultimo firmware, anche se non è chiaro se ciò sia del tutto risolutivo. "Stiamo cercando di aumentare la protezione contro Deadbolt. [...] Ai tempi di Qlocker molte persone sono state infettate dopo aver corretto la vulnerabilità. In effetti, l'intero focolaio si è scatenato dopo il rilascio della patch. Ma molte persone non applicano le patch di sicurezza lo stesso giorno o anche la stessa settimana in cui vengono rilasciate. E questo rende molto più difficile fermare una campagna ransomware".

"Lavoreremo su patch/miglioramenti di sicurezza contro Deadbolt e speriamo che vengano applicati immediatamente. So che ci sono tesi sul fatto che dovremmo farlo o meno (forzare l'aggiornamento automatico, ndr). È una decisione difficile da prendere. Ma l'abbiamo fatto a causa di Deadbolt e del nostro desiderio di fermare questo attacco il prima possibile", ha dichiarato un rappresentante dell'azienda su Reddit.

I malintenzionati non se la sono presa solo con i possessori dei NAS, ma anche con QNAP stessa, richiedendo il pagamento di 5 Bitcoin (160 mila euro circa) per rivelare tutti i dettagli della falla. Si dicono pronti anche a vendere a QNAP la chiave di decrittazione principale e le informazioni zero-day per 50 Bitcoin, ovvero circa 1,6 milioni di euro.

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Saturn28 Gennaio 2022, 14:07 #1
Mi fiderei a lasciare (direttamente) esposto in internet un nas di qualunque produttore quanto a lasciare un maiale con i cocomeri...

...anzi...non li collego proprio alla rete esterna...

...saluti ai soliti cripto-st:onzi...

....ovviamente mi dispiace per chi si è ritrovato con i danni di questi farabutti, che spendano tutto in medicine.
rebeyeah28 Gennaio 2022, 14:18 #2
c'è un modo per disabilitare il nas al traffico internet e lasciarlo solo sulla rete lan, usando solo il classico modem / router? sarebbe sufficiente chiudere la porta 80?

chiedo umilmente da ignorante. io ho proprio un qnap al quale però non ho installato i servizi cloud perchè la mia connessione 4g non me lo permette (non ho possibilità di aprire le porte e ho un nat molto restringente)
Klontz28 Gennaio 2022, 14:42 #3
Io ho avuto NAS QNAP per oltre 10 anni, in coppia, uno perennemente online ed uno offline e sempre spento e che accendevo solo per i backup veri e propri una volta alla settimana. l'ho sostituito proprio l'anno scorso con l'arrivo del mac mini M1 + un TAS.
Comunque sia.. basta disabilitare l'accesso via web, porta 80 o 8080
biffuz28 Gennaio 2022, 14:59 #4
Molto utile non esporre i device su Internet, se poi tuo cugggggino si becca un "aggiornamento di firefox" che gli cripta tutta la casa.
Ormai abbiamo bisogno dei firewall pure dentro casa.
igiolo28 Gennaio 2022, 15:01 #5
Originariamente inviato da: rebeyeah
c'è un modo per disabilitare il nas al traffico internet e lasciarlo solo sulla rete lan, usando solo il classico modem / router? sarebbe sufficiente chiudere la porta 80?

chiedo umilmente da ignorante. io ho proprio un qnap al quale però non ho installato i servizi cloud perchè la mia connessione 4g non me lo permette (non ho possibilità di aprire le porte e ho un nat molto restringente)


disabiliti il upnp
e setti manualmente le impostazioni di rete, NON mettendo il gateway
eventualmente uccidi tutti i servizi sul nas inutili
bagnino8928 Gennaio 2022, 15:09 #6
Ma questo problema riguarda chi rendeva visibile il proprio NAS su Internet? Insomma, accessibile da remoto? O basta che il NAS possa accedere ad Internet, che so, per scaricare aggiornamenti?
insane7428 Gennaio 2022, 15:18 #7
insane7428 Gennaio 2022, 15:20 #8
Originariamente inviato da: bagnino89
Ma questo problema riguarda chi rendeva visibile il proprio NAS su Internet? Insomma, accessibile da remoto? O basta che il NAS possa accedere ad Internet, che so, per scaricare aggiornamenti?


dovrebbe impattare solo chi rende accessibile il NAS da internet. di fatto lo esponi e quindi, sfruttando falle 0-day, possono "entrare", installare il cryptolocker di turno e fare il danno.
se non è esposto ad internet / non si attiva/usa myQNAPcloud non si dovrebbero correre rischi.
bagnino8928 Gennaio 2022, 15:27 #9
Originariamente inviato da: insane74
dovrebbe impattare solo chi rende accessibile il NAS da internet. di fatto lo esponi e quindi, sfruttando falle 0-day, possono "entrare", installare il cryptolocker di turno e fare il danno.
se non è esposto ad internet / non si attiva/usa myQNAPcloud non si dovrebbero correre rischi.


Non ho un NAS Qnap, ma in ogni caso il mio non lo tengo assolutamente accessibile da remoto, neanche via cloud.

Grazie per la risposta.
insane7428 Gennaio 2022, 15:33 #10
Originariamente inviato da: bagnino89
Non ho un NAS Qnap, ma in ogni caso il mio non lo tengo assolutamente accessibile da remoto, neanche via cloud.

Grazie per la risposta.


io ho QNAP dal 2016 (prima Synology) e non li ho mai esposti su internet.
se mi devo collegare dall'esterno vado di VPN.
sempre disattivato tutti quegli accrocchi per renderlo visibile "facilmente" da remoto.
troppo pericolosi.
ricordo anni fa che bastava una semplice ricerca di una parola su Google per avere un elenco di tutti i NAS Synology esposti su internet...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^