QNAP предупредил пользователей о новых атаках вымогателя DeadBolt

Тайваньский производитель сетевых накопителей (NAS) QNAP предупредил своих пользователей о необходимости обезопасить их устройства от новых атак вымогательского ПО DeadBolt. Компания рекомендовала обновить NAS до последней версии ПО и отключить удаленный доступ к ним через интернет.

Злоумышленники атакуют в основном устройства серий TS-x51 и TS-x53 под управлением QTS 4.3.6 и QTS 4.4.1.

QNAP рекомендует пользователям, чьи сетевые накопители доступны через интернет, отключить на маршрутизаторах функцию перенаправления портов и отключить функцию UPnP в QNAP NAS.

Пользователям, которым нужен доступ к NAS без непосредственного доступа к интернету, рекомендуется включить функцию VPN на маршрутизаторах (где это возможно), а также использовать сервис myQNAPcloud Link и VPN-сервер на устройствах QNAP, предоставляемый приложением QVPN Service, или решение QuWAN SD-WAN.

Атаки вымогательского ПО DeadBolt на QNAP NAS были впервые зафиксированы в конце января 2022 года. Вредонос взламывал страницу авторизации устройства и выводил на нее сообщение о том, что файлы были заблокированы DeadBolt.

После развертывания на устройстве вымогатель шифрует файлы с помощью алгоритма AES128 и добавляет к их именам расширение .deadbolt. DeadBolt также заменяет файл /home/httpd/index.html, поэтому во время доступа к скомпрометированному устройству пользователю отображается сообщение о зашифрованных файлах.

Когда жертва платит выкуп, хакеры создают биткойн-транзакцию на тот же биткойн-адрес, содержащую ключ для восстановления файлов.

ИБ-эксперт Майкл Гиллеспи (Michael Gillespie) создал бесплатный инструмент для восстановления зашифрованных файлов на Windows-компьютерах, но он не работает на устройствах QNAP.