Η QNAP προχώρησε σε μια αναγκαστική ενημέρωση των Network Attached Storage (NAS) συσκευών, με firmware που περιέχει τις πιο πρόσφατες ενημερώσεις ασφαλείας για προστασία από το ransomware DeadBolt. Το μέτρο ήταν απαραίτητο, δεδομένου ότι το ransomware έχει ήδη κρυπτογραφήσει περισσότερες από 3.600 συσκευές.
Πριν λίγες μέρες, έγινε γνωστό ότι ένα νέο ransomware, με το όνομα DeadBolt, στόχευε QNAP NAS συσκευές που ήταν εκτεθειμένες στο Διαδίκτυο.
Δείτε επίσης: Απάτη “Dark Herring”: Στόχος 105 εκατ. χρήστες Android
Οι επιτιθέμενοι ισχυρίζονται ότι χρησιμοποιούν μια ευπάθεια zero-day στο λογισμικό των συσκευών, για να χακάρουν συσκευές QNAP και να κρυπτογραφήσουν αρχεία με το ransomware DeadBolt.
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Τυφώνας Milton: Αναβάλλεται η εκτόξευση του Europa Clipper
Οι hackers ζητούν 0,03 bitcoins, αξίας περίπου 1.100 $, για να δώσουν στα θύματα ένα κλειδί αποκρυπτογράφησης.
Η συμμορία πίσω από το ransomware DeadBolt είπε, επίσης, ότι θα πουλήσει τις πλήρεις λεπτομέρειες της υποτιθέμενης ευπάθειας zero-day στην QNAP για 5 Bitcoin, αξίας 185.000 $.
Οι hackers είναι, επίσης, πρόθυμοι να πουλήσουν στην QNAP το κύριο κλειδί αποκρυπτογράφησης που μπορεί να αποκρυπτογραφήσει τα συστήματα όλων των θυμάτων. Γι’ αυτό, οι hackers ζητούν 50 bitcoin, ή περίπου 1,85 εκατομμύρια δολάρια.
Η QNAP κάνει force-update στο firmware σε NAS συσκευές
Μετά την αποκάλυψη των επιθέσεων, η QNAP άρχισε να προειδοποιεί τους πελάτες και να τους προτρέπει να προστατεύουν τις συσκευές που εκτίθενται στο Διαδίκτυο, εφαρμόζοντας την τελευταία ενημερωμένη έκδοση QTS software, απενεργοποιώντας το UPnP και απενεργοποιώντας το port forwarding.
Το ίδιο βράδυ, η QNAP έκανε αναγκαστική ενημέρωση του firmware για όλες τις συσκευές NAS των πελατών. Έτσι όλες οι συσκευές έχουν ενημερωθεί στην έκδοση 5.0.0.1891, το πιο πρόσφατο καθολικό firmware που κυκλοφόρησε στις 23 Δεκεμβρίου 2021.
Η ενημέρωση περιελάμβανε πολλές επιδιορθώσεις ασφαλείας, αλλά σχεδόν όλες σχετίζονται με το Samba, κάτι που είναι απίθανο να σχετίζεται με αυτήν την επίθεση.
Δείτε επίσης: Τα FluBot και TeaBot malware στοχεύουν ξανά χρήστες Android
Ωστόσο, αυτή η αναγκαστική ενημέρωση δημιούργησε και κάποια προβλήματα, καθώς ορισμένοι ιδιοκτήτες διαπίστωσαν ότι οι συνδέσεις τους iSCSI με τις συσκευές δεν λειτουργούσαν πλέον μετά την ενημέρωση. Ωστόσο, κάποιοι χρήστες ανέφεραν ότι βρήκαν μια λύση για αυτό το θέμα.
Άλλοι χρήστες που είχαν αγοράσει το κλειδί αποκρυπτογράφησης και βρίσκονταν σε διαδικασία αποκρυπτογράφησης, διαπίστωσαν ότι η ενημέρωση firmware αφαίρεσε το ransomware executable και την οθόνη λύτρων που χρησιμοποιούνταν για την έναρξη της αποκρυπτογράφησης. Αυτό τους εμπόδισε να συνεχίσουν τη διαδικασία αποκρυπτογράφησης.
“Συνήθως με ρωτάει αν θέλω να κάνω ενημέρωση, αλλά τώρα δεν με ρώτησε. Απλώς έμεινα σε αδράνεια ενώ η αποκρυπτογράφηση ήταν σε εξέλιξη και μετά άκουσα ένα ηχητικό σήμα από το NAS και όταν κοίταξα στο μενού, με ρωτούσε αν θέλω να κάνω επανεκκίνηση τώρα για να οριστικοποιηθεί η ενημέρωση“, είπε ένας αναστατωμένος ιδιοκτήτης σε forum του BleepingComputer.
“Πάτησα ΟΧΙ αλλά με αγνόησε και άρχισε να κλείνει όλες τις εφαρμογές για να γίνει επανεκκίνηση“, συνέχισε.
Εκπρόσωπος της QNAP απάντησε στα παράπονα των πελατών, λέγοντας ότι η αναγκαστική ενημέρωση των NAS συσκευών έγινε για να προστατευτούν οι χρήστες από τις συνεχιζόμενες επιθέσεις ransomware.
Δείτε επίσης: Το Konni remote access trojan λαμβάνει «σημαντικές» αναβαθμίσεις
“Στην εποχή του Qlocker ransomware, πολλοί άνθρωποι μολύνθηκαν αφού διορθώσαμε την ευπάθεια. Στην πραγματικότητα, όλο αυτό είχε γίνει μετά την κυκλοφορία του patch. Αλλά πολλοί άνθρωποι δεν εφαρμόζουν την ενημερωμένη έκδοση ασφαλείας την ίδια ημέρα ή ακόμα και την ίδια εβδομάδα που κυκλοφορεί. Και αυτό καθιστά πολύ πιο δύσκολο να σταματήσει μια ransomware εκστρατεία. Θα εργαστούμε για ενημερώσεις κώδικα/βελτιώσεις ασφαλείας έναντι του DeadBolt και ελπίζουμε να εφαρμοστούν αμέσως“, είπε μεταξύ άλλων ο εκπρόσωπος. Είπε, επίσης, ότι η αναγκαστική ενημέρωση ήταν μια δύσκολη απόφαση για την QNAP.
Αυτό που δεν είναι ξεκάθαρο είναι γιατί χρειαζόταν μια αναγκαστική ενημέρωση για να προστατευτεί μια συσκευή από το DeadBolt ransomware, όταν η QNAP αρχικά είπε ότι η μείωση της έκθεσης των συσκευών στο Διαδίκτυο θα βοηθούσε στην αντιμετώπιση των επιθέσεων.
Ίσως υπάρχει μια παλαιότερη ευπάθεια στο QTS, που χρησιμοποιείται για την παραβίαση συσκευών QNAP και την εγκατάσταση του DeadBolt. Επομένως, η ενημέρωση μπορεί διορθώνει αυτή την ευπάθεια/ες.
Δυστυχώς, η αναγκαστική ενημέρωση ήρθε αργά, καθώς λέγεται ότι έχουν ήδη επηρεαστεί πάνω από 3.600 QNAP NAS συσκευές.
Πηγή: Bleeping Computer