Την Πέμπτη η εταιρεία κατασκευής δικτυακής αποθήκευσης (NAS) με έδρα την Ταϊβάν, QNAP προειδοποίησε τους πελάτες να προστατεύουν τις συσκευές τους από επιθέσεις που ωθούν ransomware payloads DeadBolt.
Δείτε επίσης: ΗΠΑ: Γιατρός πίσω από τη δημιουργία των Jigsaw και Thanos ransomware
Δείτε επίσης: Ransomware: Πώς 2.500 στόχοι μετατρέπονται σε 1 πραγματική επίθεση
Η εταιρεία ζήτησε από τους χρήστες να ενημερώσουν τις συσκευές NAS τους στην πιο πρόσφατη έκδοση λογισμικού και να διασφαλίσουν ότι δεν εκτίθενται σε απομακρυσμένη πρόσβαση μέσω Διαδικτύου.
Αυτή η προειδοποίηση έρχεται μετά από μια άλλη σχετικά με ransomware που στοχεύουν συσκευές NAS που εκτίθενται στο Διαδίκτυο που δημοσιεύτηκε τον Ιανουάριο.
Η QNAP συμβούλεψε τους πελάτες με συσκευές public-facing να προβούν στις ακόλουθες ενέργειες για να αποκλείσουν πιθανές επιθέσεις:
- Απενεργοποιήστε τη λειτουργία Port Forwarding του router: Μεταβείτε στο management interface του router σας, ελέγξτε τις ρυθμίσεις Virtual Server, NAT ή Port Forwarding και απενεργοποιήστε τη ρύθμιση port forwarding της θύρας NAS management service (θύρες 8080 και 433 από προεπιλογή).
- Απενεργοποιήστε τη λειτουργία UPnP του QNAP NAS: Μεταβείτε στο myQNAPcloud στο μενού QTS, κάντε κλικ στο “Auto Router Configuration” και καταργήστε την επιλογή “Enable UPnP Port Forwarding”.
Ο κατασκευαστής NAS παρέχει και λεπτομερή βήματα για την απενεργοποίηση των συνδέσεων SSH και Telnet, την αλλαγή του system port number, την αλλαγή κωδικών πρόσβασης συσκευής και την ενεργοποίηση της προστασίας IP και πρόσβασης λογαριασμού.
Τον Απρίλιο, η QNAP προέτρεψε τους χρήστες NAS να απενεργοποιήσουν το port forwarding Universal Plug and Play (UPnP) στα routers τους για να αποτρέψουν την έκθεσή τους σε επιθέσεις από το Διαδίκτυο.
Όσοι χρειάζονται πρόσβαση σε συσκευές NAS χωρίς άμεση πρόσβαση στο Διαδίκτυο, συνιστάται να ενεργοποιήσουν τη δυνατότητα VPN του router τους (εάν υπάρχει), να χρησιμοποιούν την υπηρεσία myQNAPcloud Link και τον server VPN σε συσκευές QNAP που παρέχονται από την εφαρμογή QVPN Service ή τη λύση QuWAN SD-WAN.
Καθώς οι συσκευές QNAP στοχοποιούνται και από άλλες οικογένειες ransomware, όπως το Qlocker και το eCh0raix, όλοι οι κάτοχοι θα πρέπει να λάβουν αμέσως τα παραπάνω μέτρα για την προστασία των δεδομένων τους από μελλοντικές επιθέσεις.
Δείτε επίσης: Μια επίθεση ransomware και η πανδημία του COVID-19 κλείνουν το Lincoln College
DeadBolt ransomware
Το ransomware DeadBolt που εντοπίστηκε για πρώτη φορά σε επιθέσεις που στοχεύουν συσκευές QNAP NAS στα τέλη Ιανουαρίου, παραβιάζει τη σελίδα σύνδεσης της συσκευής QNAP για να εμφανίσει μια οθόνη που αναφέρει, “WARNING: Your files have been locked by DeadBolt.”
Μόλις αναπτυχθεί σε μια συσκευή NAS, αυτό το ransomware χρησιμοποιεί το AES128 για την κρυπτογράφηση αρχείων, προσθέτοντας μια επέκταση .deadbolt στα ονόματά τους.
Το DeadBolt αντικαθιστά και το αρχείο /home/httpd/index.html, έτσι ώστε τα θύματα να βλέπουν το ransom screen όταν έχουν πρόσβαση στην παραβιασμένη συσκευή.
Μετά την πληρωμή των λύτρων, οι απειλητικοί φορείς δημιουργούν μια συναλλαγή bitcoin στην ίδια διεύθυνση λύτρων bitcoin που περιέχει το κλειδί αποκρυπτογράφησης για το θύμα (το κλειδί αποκρυπτογράφησης βρίσκεται κάτω από το output OP_RETURN).
Ο ειδικός ransomware Michael Gillespie δημιούργησε έναν δωρεάν αποκρυπτογραφητή Windows που μπορεί να βοηθήσει στην αποκρυπτογράφηση αρχείων χωρίς τη χρήση του ransomware executable.
Ωστόσο, οι ιδιοκτήτες QNAP που πλήττονται από το ransomware DeadBolt θα πρέπει να πληρώσουν τα λύτρα για να λάβουν ένα έγκυρο κλειδί αποκρυπτογράφησης.
Το DeadBolt ransomware επέστρεψε τον Φεβρουάριο σε μια άλλη καμπάνια που στόχευε συσκευές ASUSTOR NAS και φέρεται να χρησιμοποιεί μια ευπάθεια zero-day.
Πηγή πληροφοριών: bleepingcomputer.com
