Jonathan Greig Personalskribent
Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 27 januari 2022 | Ämne: Ransomware
Taiwanesiska nätverksanslutna lagringsjätten QNAP uppmanade sina kunder att uppdatera sina system denna vecka efter att DeadBolt ransomware upptäcktes riktad mot alla NAS-instanser exponerade för internet.
“QNAP uppmanar alla QNAP NAS-användare att följa säkerhetsinställningsinstruktionerna nedan för att säkerställa säkerheten för QNAP NAS och routrar, och omedelbart uppdatera QTS till den senaste tillgängliga versionen”, säger företaget i ett uttalande.
Bifogad till uttalandet finns en detaljerad guide för kunder, som noterar att om du går till säkerhetsrådgivaren på din QNAP NAS och ser “Systemadministrationstjänsten kan vara direkt åtkomlig från en extern IP-adress via följande protokoll: HTTP” på instrumentpanelen, är du i hög risk.
“Om din NAS är exponerad för Internet, följ instruktionerna nedan för att säkerställa NAS-säkerhet: Gå till hanteringsgränssnittet för din router, kontrollera inställningarna för virtuell server, NAT eller Port Forwarding och inaktivera portvidarebefordransinställningen för NAS-hanteringstjänsten port (port 8080 och 443 som standard),” sa företaget.
“Gå till myQNAPcloud på QTS-menyn, klicka på “Auto Router Configuration” och avmarkera “Aktivera UPnP-portvidarebefordran.”
För två dagar sedan gick dussintals människor till QNAP-anslagstavlor och Reddit för att säga att de bara loggade in för att hitta Deadbolt ransomware-skärmen. Människor rapporterade att de förlorat årtionden av foton, videor och oersättliga filer. Till och med en MIT-professor blev påkörd.
Jag blev precis hackad. Ransomware med namnet DeadBolt hittade en exploatering i @QNAP_nas lagringsenheter som krypterade alla filer. De begär 1 000 dollar från privatpersoner eller 1,8 miljoner dollar från QNAP. Jag har 50 TB data där, inget av det väsentligt eller känsligt, men det gör mycket ont. Dags för en nystart. pic.twitter.com/E8ZkyIbdfp
— Lex Fridman (@lexfridman) 27 januari 2022
En användare på Reddit sa att de var räddade för att de hade en mapp med titeln “Absolut värdelös” högst upp i sin katalog full av data. Ransomware började med den mappen, vilket gav dem tid att dra ur kontakten innan det krypterade något av värde.
Lösenedeln kräver 0,03 i Bitcoin för dekrypteringsnyckeln och säger: “Du har blivit måltavla på grund av den otillräckliga säkerheten som tillhandahålls av din leverantör (QNAP).” Minst en användare på Reddit rapporterade att han betalade lösensumman och inte fick dekrypteringsnyckeln.
QNAP-anslagstavla
På QNAP-anslagstavlan delade någon ett meddelande från Deadbolt ransomware-gruppen som påstås ha skickats till QNAP.
“Alla er drabbade kunder har varit inriktade på att använda en nolldagarssårbarhet i er produkt. Vi erbjuder er två alternativ för att mildra denna (och framtida) skada”, sa gruppen.
Gruppen krävde en Bitcoin-betalning på 5 BTC i utbyte mot detaljer om en påstådd nolldag som användes för att starta attacken eller 50 BTC för en universell dekrypteringshuvudnyckel och information om nolldagen.
“Det finns inget sätt att kontakta oss. Det här är våra enda erbjudanden”, står det i det påstådda meddelandet.
QNAP svarade inte på förfrågningar om kommentarer om huruvida en nolldag användes under attacken.
Chris Morgan, senior cyberhotsintelligensanalytiker på Digital Shadows, sa att QNAP NAS-enheter har varit ett frekvent mål för ransomware-grupper, inklusive av QLocker ransomware i april 2021 och januari 2021 samt ech0raix ransomware i december 2020. QNAP har också varit drabbats av skadlig programvara tidigare.
“Den senaste aktiviteten – som har tillskrivits Deadbolt ransomware – är enligt uppgift osofistikerad och förlitar sig på inriktning på oparpade enheter. Mildring av denna attack – och andra liknande ransomware-varianter – kan uppnås helt enkelt genom att se till att enheterna är inte internet vänd och är rutinmässigt lappade med de vanligaste uppdateringarna,” förklarade Morgan.
Vulcan Cybers Mike Parkin ifrågasatte varför en organisation skulle ha ett NAS-system exponerat på internet i första hand, och noterade att även om det kan finnas vissa affärsfall för att göra masslagring tillgänglig för utomstående, finns det ingen anledning att ha administrationsfunktioner tillgängliga via en okrypterad, oautentiserad, anslutning.
“Sådana fall visar hur viktigt det är att vara säker på att systemen distribueras och underhålls enligt branschens bästa praxis. Nätverksskanning och verktyg för sårbarhetshantering kan samverka för att identifiera riskfyllda konfigurationer i efterhand, men det är alltid bäst för att se till att systemen distribueras säkert i första hand, säger Parkin.
Säkerhet
Cybersäkerhet: 11 steg att ta när hotnivåerna ökar. Hon litade inte på sina flyttar. En enda Apple AirTag bevisade att hon hade rätt Hur tekniken är ett vapen i modern misshandel i hemmet Log4J: Microsoft upptäcker angripare som riktar sig mot SolarWinds sårbarhet De bästa antivirusprogram och appar: Håll din dator, telefon och surfplatta säker Säkerhet