Dal 25 gennaio è in corso un attacco contro i NAS di QNAP con il ransomware DeadBolt. Il produttore taiwanese ha pubblicato un comunicato che spiega le azioni da mettere in atto, tra cui l’installazione dell’ultima versione del sistema operativo QTS. Diversi utenti hanno ora segnalato che l’aggiornamento è stato forzato da QNAP.
QNAP forza l’installazione di QTS
Secondo il motore di ricerca Censys, al momento DeadBolt ha colpito oltre 4.300 NAS di QNAP. Il ransomware ha sfruttato una vulnerabilità zero-day per accedere ai dispositivi e cifrare i file. Invece della pagina di login standard, l’utente vede un testo che invita al pagamento di un riscatto di 0,03 Bitcon per ricevere la chiave di decrittazione.
Gli autori dell’attacco hanno chiesto a QNAP di pagare 5 Bitcoin per avere i dettagli sulla vulnerabilità e 50 Bitcoin per avere la “master key” che permette di decifrare i file di tutte le vittime.
QNAP ha consigliato la disattivazione delle funzionalità di Port Forwarding e UPnP. È necessario inoltre installare la versione 5.0.0.1891 build 20211221 di QTS (la più recente) che risolte otto vulnerabilità. Sembra però che il ransomware sfrutti un altro bug. Infatti un utente ha confermato di aver subito l’attacco anche con l’ultima versione del sistema operativo.
Il produttore ha deciso ugualmente di forzare l’aggiornamento per evitare una maggiore diffusione di DeadBolt. Ciò ha però causato qualche problema collaterale. Alcuni utenti hanno segnalato che le connessioni iSCSI non funzionano più. Inoltre, l’update chiude tutte le applicazioni in esecuzione prima del riavvio, compreso l’eseguibile usato per decifrare i file. Quindi la procedura viene interrotta.