✔Шифровальщик DeadBolt взломал 3600 NAS. Qnap устанавливает обновления принудительно - «Новости»
Компания Qnap принудительно устанавливает обновления прошивки на свои NAS, стараясь воспрепятствовать атакам вымогателя DeadBolt, который уже зашифровал более 3600 устройств.
О малвари DeadBolt стало известно ранее на этой неделе. Согласно заявлениям самих хакеров, DeadBolt шифрует устройства, используя некую 0-day уязвимость. Взломы начались 25 января 2022 года, когда владельцы устройств Qnap стали обнаруживать, что их файлы зашифрованы, а имена файлов дополнены расширением .deadbolt.
Интересно, что в записке с требованием выкупа хакеры оставили отдельное сообщение для разработчиков, озаглавленное «Важное сообщение для Qnap». Авторы малвари DeadBolt пишут, что готовы раскрыть полную информацию об используемой ими уязвимости нулевого дня, если компания заплатит им 5 биткоинов (примерно 184 000 долларов США). Также они сообщали, что готовы продать мастер-ключ, который поможет расшифровать файлы всех жертв, и информацию о 0-day за 50 биткоинов, то есть почти за 1,85 миллиона долларов США.
Ранее разработчики Qnap уже предупреждали владельцев NAS о новой угрозе и советовали обновить QTS до последней доступной версии, а также как можно скорее отключить переадресацию портов на своем маршрутизаторе и функцию UPnP в NAS Qnap. Теперь же компания перешла к более решительным мерам.
Qnap принудительно обновила прошивку на всех клиентских NAS до версии 5.0.0.1891, вышедшей 23 декабря 2021 года. В это обновление входят многочисленные патчи, но почти все они связаны с Samba.
Издание Bleeping Computer, пишет, что принудительное обновление прошивки происходит даже на тех устройствах, где автоматические обновления отключены. Причем некоторые владельцы NAS обнаружили, что соединения iSCSI после обновления перестали работать.
Другие пользователи, которые уже заплатили хакерам и получили ключ для дешифрования данных, обнаружили, что обновление прошивки удалило исполняемый файл вымогателя и экран с требованием выкупа, через который и происходил запуск дешифрования. Это помешало пострадавшим продолжить процесс расшифровки.
«Обычно NAS спрашивает меня, хочу ли я обновиться, но сейчас он меня не спрашивал. Я просто ждал без дела, пока шла расшифровка, но тут услышал звуковой сигнал от NAS, и когда посмотрел в меню, тот спрашивал меня, хочу ли я перезапуститься сейчас, чтобы обновление завершилось, — пишет один из расстроенных владельцев. — Я нажал “НЕТ”, но устройство проигнорировало меня и начало закрывать все приложения для перезапуска».
Представители службы поддержки Qnap подтвердили происходящее и отмечают, что принудительное обновление было запущено для защиты пользователей от продолжающихся атак вымогателя DeadBolt.
«Еще во времена Qlocker многие люди заразились уже после того, как мы исправили уязвимость. На самом деле, вся вспышка заражений произошла уже после выхода патча. Многие люди не применяют исправления в день их выхода и хотя бы на той же неделе. Это значительно усложняет борьбу с кампаниями программ-вымогателей. Мы будем работать над исправлениями/улучшениями безопасности, направленными против DeadBolt, и надеемся, что они будут применены сразу же.
Нам известно, что есть аргументы как в пользу, так и против того, стоило ли нам так поступать. Это трудное решение. Но мы пошли на это именно из-за DeadBolt и нашего желания остановить эту атаку как можно скорее», — говорят разработчики.
Журналисты отмечают, что не совсем ясно, как принудительное обновление прошивки до последней версии защищает от DeadBolt, ведь Qnap изначально сообщала, что для смягчения атак нужно лишь «не светить» NAS в интернете. Вероятно, хакеры используют какую-то старую уязвимость в QTS, а обновление прошивки устраняет эту проблему.
К сожалению, ИБ-специалисты говорят, что решение о принудительном обновлении, похоже, было принято слишком поздно. К примеру, по данным Shodan, шифровальщик успешно атаковал более 1160 устройств NAS, а по информации Censys все еще хуже: DeadBolt зашифровал уже 3687 девайсов. Shodan и Censys сообщают, что больше всего от атак пострадали США, Франция, Тайвань, Великобритания и Италия.