Jonathan Greig Personaleskribent
Jonathan Greig er journalist baseret i New York City.
Fuld bio den 27. januar 2022 | Emne: Ransomware
Taiwanesisk netværkstilsluttet lagringsgigant QNAP opfordrede sine kunder til at opdatere deres systemer i denne uge, efter at DeadBolt ransomware blev opdaget målrettet mod alle NAS-forekomster udsat for internettet.
“QNAP opfordrer indtrængende alle QNAP NAS-brugere til at følge instruktionerne for sikkerhedsindstillinger nedenfor for at sikre sikkerheden for QNAP NAS og routere og straks opdatere QTS til den seneste tilgængelige version,” sagde virksomheden i en erklæring.
Vedhæftet til erklæringen er en detaljeret vejledning til kunder, der bemærker, at hvis du går til sikkerhedsrådgiveren på din QNAP NAS og ser “Systemadministrationstjenesten kan være direkte tilgængelig fra en ekstern IP-adresse via følgende protokoller: HTTP” på dashboardet, er du i høj risiko.
“Hvis din NAS er udsat for internettet, skal du følge instruktionerne nedenfor for at sikre NAS-sikkerhed: Gå til administrationsgrænsefladen på din router, kontroller indstillingerne for Virtual Server, NAT eller Port Forwarding, og deaktiver portvideresendelsesindstillingen for NAS-administrationstjenesten port (port 8080 og 443 som standard),” sagde virksomheden.
“Gå til myQNAPcloud på QTS-menuen, klik på “Auto Router Configuration”, og fjern markeringen af ”Aktiver UPnP-portvideresendelse.”
For to dage siden tog snesevis af mennesker til QNAP opslagstavler og Reddit for at sige, at de kun loggede på for at finde Deadbolt ransomware-skærmen. Folk rapporterede at miste årtier af fotos, videoer og uerstattelige filer. Selv en MIT-professor blev ramt.
Jeg er lige blevet hacket. Ransomware ved navn DeadBolt fandt en udnyttelse i @QNAP_nas lagringsenheder, der krypterede alle filer. De beder $1.000 fra enkeltpersoner eller $1,8 millioner fra QNAP. Jeg har 50 TB data der, intet af det væsentlige eller følsomme, men det gør meget ondt. Tid til en frisk start. pic.twitter.com/E8ZkyIbdfp
— Lex Fridman (@lexfridman) 27. januar 2022
En bruger på Reddit sagde, at de blev gemt, fordi de havde en mappe med titlen “Absolut værdiløs” øverst i deres bibliotek fuld af data. Ransomwaren startede med den mappe, hvilket gav dem tid til at trække stikket ud, før det krypterede noget af værdi.
Løsesedlen kræver 0,03 i Bitcoin for dekrypteringsnøglen og siger: “Du er blevet målrettet på grund af den utilstrækkelige sikkerhed leveret af din leverandør (QNAP).” Mindst én bruger på Reddit rapporterede, at han betalte løsesummen og ikke fik dekrypteringsnøglen.
QNAP-meddelelsestavlen
På QNAP-meddelelsestavlen delte nogen en besked fra Deadbolt ransomware-gruppen, der angiveligt blev sendt til QNAP.
“Alle jer berørte kunder er blevet målrettet ved at bruge en nul-dages sårbarhed i dit produkt. Vi tilbyder dig to muligheder for at afbøde denne (og fremtidige) skade,” sagde gruppen.
Gruppen krævede en Bitcoin-betaling på 5 BTC i bytte for detaljer om en påstået nuldag, der blev brugt til at starte angrebet eller 50 BTC for en universel dekrypteringshovednøgle og information om nuldagen.
“Der er ingen måde at kontakte os på. Dette er vores eneste tilbud,” siger den påståede besked.
QNAP reagerede ikke på anmodninger om kommentarer om, hvorvidt der blev brugt en nuldag under angrebet.
Chris Morgan, senior cybertrussel-intelligensanalytiker hos Digital Shadows, sagde, at QNAP NAS-enheder har været et hyppigt mål for ransomware-grupper, herunder af QLocker ransomware i april 2021 og januar 2021 samt ech0raix ransomware i december 2020. QNAP har også været tidligere ramt af malware.
“Den seneste aktivitet – som er blevet tilskrevet Deadbolt ransomwaren – er efter sigende usofistikeret og er afhængig af målretning af ikke-patchede enheder. Afhjælpning af dette angreb – og andre lignende ransomware-varianter – kan opnås ved blot at sikre, at enheder er ikke internetvendt og er rutinemæssigt lappet med de mest regelmæssige opdateringer,” forklarede Morgan.
Vulcan Cybers Mike Parkin stillede spørgsmålstegn ved, hvorfor en organisation ville have et NAS-system eksponeret på internettet i første omgang, og bemærkede, at selvom der kan være nogle business cases for at gøre masselager tilgængelig for udenforstående, er der ingen grund til at have administrationsfunktioner tilgængelige via en ukrypteret, uautoriseret, forbindelse.
“Sager som denne fremhæver, hvor vigtigt det er at være sikker på, at systemerne er implementeret og vedligeholdt i overensstemmelse med industriens bedste praksis. Netværksscanning og sårbarhedsstyringsværktøjer kan arbejde sammen for at identificere risikable konfigurationer bagefter, men det er altid bedst for at sikre, at systemerne er installeret sikkert i første omgang,” sagde Parkin.
Sikkerhed
Cybersikkerhed: 11 trin at tage, når trusselsniveauet stiger. Hun stolede ikke på sine flyttemænd. Et enkelt Apple AirTag beviste, at hun havde ret Hvordan teknologi er et våben i moderne misbrug i hjemmet Log4J: Microsoft opdager angribere, der er rettet mod SolarWinds sårbarhed. Den bedste antivirussoftware og -apps: Hold din pc, telefon og tablet sikker Sikkerhed