QNAP advierte sobre un nuevo ransomware DeadBolt que cifra los dispositivos NAS

QNAP vuelve a advertir a los clientes que aseguren sus dispositivos de almacenamiento conectado a la red (NAS) expuestos a Internet para protegerse contra ataques continuos y generalizados dirigidos a sus datos con la nueva variedad de ransomware DeadBolt.

"DeadBolt se ha centrado ampliamente en todos los NAS expuestos a Internet sin ninguna protección y encriptando los datos de los usuarios para el rescate de Bitcoin", dijo la compañía en un comunicado publicado hoy.

"Su NAS está expuesto a Internet y corre un alto riesgo si el tablero muestra el mensaje 'Se puede acceder directamente al servicio de administración del sistema desde una dirección IP externa a través de los siguientes protocolos: HTTP'".

Se insta a todos los usuarios de QNAP a "actualizar QTS a la última versión disponible de inmediato" para bloquear los ataques entrantes de ransomware DeadBolt.

El fabricante del NAS también recomienda a los clientes que deshabiliten inmediatamente el reenvío de puertos en su enrutador y la función UPnP del NAS de QNAP mediante los siguientes pasos:

• Deshabilite la función de reenvío de puertos del enrutador: Vaya a la interfaz de administración de su enrutador, verifique la configuración del Servidor virtual, NAT o Reenvío de puertos y deshabilite la configuración de reenvío de puertos del puerto del servicio de administración NAS (puerto 8080 y 433 por defecto).
• Deshabilite la función UPnP del QNAP NAS: Vaya a myQNAPcloud en el menú QTS, haga clic en "Configuración automática del enrutador" y desmarque "Habilitar el reenvío de puertos UPnP".

También puede usar esta guía paso a paso para deshabilitar las conexiones SSH y Telnet, cambiar el número de puerto del sistema y las contraseñas del dispositivo, y habilitar el acceso IP y la protección de la cuenta.

También hay un tema de soporte para el ransomware DeadBolt en el foro de BleepingComputer con más información sobre los ataques y con la ayuda de otros usuarios de QNAP.

Nuevas superficies de ransomware DeadBolt

Como informó ayer BleepingComputer, el grupo de ransomware DeadBolt comenzó a atacar a los usuarios de QNAP el 25 de enero, encriptando archivos en dispositivos NAS comprometidos y agregando una extensión de archivo .deadbolt.

Los atacantes no emiten notas de rescate en los dispositivos cifrados, sino que secuestran las páginas de inicio de sesión para mostrar pantallas de advertencia que dicen "ADVERTENCIA: DeadBolt ha bloqueado sus archivos".

La pantalla de rescate pide a las víctimas que paguen 0,03 bitcoins (aproximadamente 1100 dólares) a una dirección de Bitcoin única generada para cada víctima, afirmando que la clave de descifrado se enviará a la misma dirección de blockchain en el campo OP_RETURN una vez que el pago se haya realizado correctamente.

En la actualidad, no hay confirmación de que los actores de amenazas realmente cumplan su promesa de enviar una clave de descifrado que funcione después de pagar el rescate.

Estos ataques de ransomware DeadBolt en curso solo afectan a los dispositivos NAS expuestos y, dado que los atacantes también afirman utilizar un error de día cero, se recomienda que los desconecte de Internet tal como QNAP recomienda en el aviso de hoy.

La pandilla DeadBolt también le pide a QNAP que pague 50 bitcoins (alrededor de $ 1.85 millones) por el día cero y una clave maestra de descifrado para descifrar los archivos de todas las víctimas afectadas.

El aviso de hoy es el tercero que QNAP emite para advertir a los clientes sobre ataques de ransomware dirigidos a sus dispositivos NAS expuestos a Internet en los últimos 12 meses.

Se les advirtió previamente sobre los ataques de ransomware eCh0raix en mayo y los ataques de ransomware AgeLocker en abril.

La compañía también instó a todos los usuarios de NAS de QNAP a proteger los dispositivos NAS expuestos al acceso a Internet el 7 de enero, al mismo tiempo que los alertó sobre ransomware activo y ataques de fuerza bruta.