Un nuovo gruppo di ransomware, denominato DeadBolt, sta crittografando i sistemi NAS di QNAP in tutto il mondo sfruttando una vulnerabilità zero-day identificata nel firmware dei dispositivi.
Gli attacchi sono iniziati il 25 gennaio, quando alcuni utenti QNAP hanno scoperto che i loro file erano stati crittografati e rinominati con una nuova estensione .deadbolt.
Indice degli argomenti
I dettagli dell’attacco ransomware DeadBolt
Invece di scrivere note di riscatto in ogni cartella del dispositivo, questa volta viene violata la pagina di accesso del dispositivo QNAP, in modo da visualizzare un messaggio che dice “AVVERTENZA: i tuoi file sono stati bloccati da DeadBolt”. Questa schermata indica alla vittima di inviare 0,03 Bitcoin (poco meno di 1.000 euro al cambio attuale) a un indirizzo wallet differente per ogni vittima.
Dopo il pagamento, gli attori della minaccia affermano di inviare una transazione di follow-up allo stesso indirizzo con la chiave di decrittazione, che può essere ottenuta seguendo le linee guida. I file del dispositivo possono quindi essere decrittografati utilizzando questa chiave.
Tuttavia, non vi è alcuna garanzia che il pagamento di un riscatto comporti in automatico la ricezione di una chiave di decrittazione o che gli utenti saranno in grado di decrittografare i loro file: ricordiamo che si tratta sempre di attività illecite e non è mai consigliato prendere accordi con terze parti malintenzionate, non essendoci appunto la presenza di alcuna garanzia.
I possibili impatti dell’attacco ransomware
Il Network Attached Storage (NAS), lo ricordiamo, è un dispositivo (che viene definito di rete) collegato a una rete informatica che fornisce agli utenti, connessi alla stessa rete, il servizio di condivisione file su qualsiasi altro dispositivo ne abbia accesso. Contiene quindi al suo interno diverse unità di memoria di massa, sotto forma di hard disk, singoli o multipli (a seconda del modello).
QNAP è tra le più grandi e diffuse aziende multinazionali, con sede a Taiwan, specializzata proprio in soluzioni NAS commerciali per privati e aziende, di differenti e molteplici dimensioni.
BleepingComputer ha riportato una quindicina di vittime dell’attacco ransomware DeadBolt, analizzando le quali emerge che non vi è una specifica regione di riferimento. L’attacco è mirato ai dispositivi NAS della QNAP a livello globale, in relazione della sua colossale diffusione. Si parla infatti di circa 320.000 dispositivi NAS connessi alla Rete, potenzialmente esposti, con dentro dati di ogni genere, dai personali a quelli aziendali. Le soluzioni QNAP, infatti sono particolarmente apprezzate anche da PMI che hanno la necessità di centralizzare l’archiviazione documentale prodotta nel tempo.
Queste cifre ci aiutano a capire la dimensione del problema, senza pensare si tratti di una grande multinazionale lontana dalla nostra quotidianità, infatti solo in Italia, si superano di poco le 30.000 unità connesse a Internet.
Misure di mitigazione del ransomware DeadBolt
Gli attacchi DeadBolt, come tutti gli altri attacchi ransomware contro i dispositivi QNAP, hanno un impatto solo sulle macchine connesse a Internet. Poiché gli attori delle minacce affermano di utilizzare una vulnerabilità zero-day, tutti i clienti QNAP sono caldamente invitati a disconnettere i propri dispositivi da Internet e proteggerli con un firewall. Poiché i legittimi proprietari di QNAP possono esser presi di mira da altre due famiglie di ransomware, Qlocker (isolata poche settimane fa) ed eCh0raix (di dicembre scorso), è buona pratica invitare tutti i proprietari a seguire alcune misure preventive per evitare attacchi futuri.
Tra le misure consigliate da QNAP per prevenire attacchi di questa tipologia c’è la valutazione meditata dell’accesso a Internet del nostro dispositivo. È necessario che sia esposto alla Rete? Qualora fosse possibile limitarne o inibirne l’accesso, troviamo in questo la migliore mitigazione al problema. Ad ogni modo, quando l’esposizione a Internet è necessaria, assicurarsi che il Port Forwarding del router verso il nostro NAS (solitamente porta 8080 e 443 per impostazione predefinita) sia disabilitato; inoltre disattivare la funzione UPnP del QNAP NAS.
QNAP è sicuramente, lo abbiamo visto nel tempo, estremamente mirata da attacchi di questo tipo: almeno una volta al mese, viene individuata una variante ransomware o una vulnerabilità da correggere su questi prodotti NAS, che potrebbe comprometterne il contenuto ma, doveroso riconoscerlo, è anche la società più aggiornata da questo punto di vista. Ci sono aggiornamenti costanti, con fix di sicurezza periodici frequenti, come raramente capita in sistemi di archiviazione condivisa. Questo spinge l’azienda a mantenere costantemente aggiornata questa pagina sugli alert rilevati che, nell’ultimo anno, ha accumulato 181 advisory ciascuno dei quali, completo delle opportune mitigazioni.
