QNAP fuerza la instalación de la actualización después de que el ransomware DeadBolt llega a 3600 dispositivos

QNAP actualizó a la fuerza los dispositivos de almacenamiento conectado a la red (NAS) del cliente con firmware que contiene las actualizaciones de seguridad más recientes para proteger contra el ransomware DeadBolt, que ya ha cifrado más de 3600 dispositivos.

El martes, BleepingComputer informó sobre una nueva operación de ransomware llamada DeadBolt que cifraba dispositivos QNAP NAS expuestos a Internet en todo el mundo.

El actor de amenazas afirma estar usando una vulnerabilidad de día cero para piratear dispositivos QNAP y cifrar archivos usando el ransomware DeadBolt, que agrega el .deadbolt extensión a los nombres de archivo.

El ransomware también reemplazará la página de inicio de sesión HTML normal con una nota de rescate que exige 0,03 bitcoins, con un valor aproximado de 1100 dólares, para recibir una clave de descifrado y recuperar datos.

La pandilla de ransomware DeadBolt también está tratando de vender los detalles completos de la supuesta vulnerabilidad de día cero a QNAP por 5 Bitcoins, por un valor de $ 185,000.

También están dispuestos a vender a QNAP la clave maestra de descifrado que puede descifrar a todas las víctimas afectadas y proporcionar información sobre el presunto día cero por 50 bitcoins, o aproximadamente 1,85 millones de dólares.

Si bien es poco probable que QNAP ceda ante la demanda de extorsión, numerosos usuarios en nuestro tema del foro de soporte de DeadBolt han informado que pagaron con éxito el ransomware para recuperar sus archivos.

QNAP fuerza las actualizaciones de firmware en los dispositivos NAS

Al día siguiente, QNAP comenzó a advertir a los clientes que protegieran sus dispositivos NAS expuestos a Internet contra DeadBolt actualizando a la última versión del software QTS, desactivando UPnP y desactivando el reenvío de puertos.

Más tarde esa noche, QNAP tomó medidas más drásticas y actualizó a la fuerza el firmware de todos los dispositivos NAS de los clientes a la versión 5.0.0.1891, el último firmware universal lanzado el 23 de diciembre de 2021.

Esta actualización también incluyó numerosas correcciones de seguridad, pero casi todas ellas están relacionadas con Samba, que es poco probable que esté asociado con este ataque.

Los propietarios de QNAP y los administradores de TI le dijeron a BleepingComputer que QNAP forzó esta actualización de firmware en los dispositivos incluso si las actualizaciones automáticas estaban deshabilitadas.

Sin embargo, esta actualización no se realizó sin problemas, ya que algunos propietarios descubrieron que sus conexiones iSCSI a los dispositivos ya no funcionaban después de la actualización.

"Pensé en avisarles a todos. Anoche, un par de nuestros QNAPS perdieron la conexión ISCSI. Después de un día de jugar y tirarnos de los pelos, finalmente descubrimos que se debió a la actualización. No lo ha hecho para todos de los QNAP que administramos, pero finalmente encontramos la solución ", dijo un propietario de QNAP en Reddit.

En "Almacenamiento e instantáneas> ISCSI y canal de fibra", haga clic con el botón derecho en su alias (IQN), seleccione "Modificar> Portal de red" y seleccione el adaptador que utiliza para ISCSI.

Otros usuarios que habían comprado la clave de descifrado y estaban en el proceso de descifrado, descubrieron que la actualización del firmware también eliminó el ejecutable del ransomware y la pantalla de rescate utilizada para iniciar el descifrado. Esto les impidió continuar con el proceso de descifrado una vez que el dispositivo terminó de actualizarse.

"Por lo general, me pregunta si quiero actualizar, pero ahora no me preguntó. Estaba inactivo mientras el descifrado estaba en progreso y luego escuché un pitido del NAS, y cuando miré en el menú, me preguntaba si quiero reiniciar ahora para que finalice la actualización ", publicó un propietario molesto en el tema de soporte de DeadBolt de BleepingComputer.

"Presioné NO pero me ignoró y comenzó a cerrar todas las aplicaciones para reiniciar".

En respuesta a numerosas quejas acerca de que QNAP forzó una actualización de firmware, un representante de soporte de QNAP respondió, afirmando que era para proteger a los usuarios de los continuos ataques de ransomware DeadBolt.

"Estamos tratando de aumentar la protección contra cerrojos. Si la actualización recomendada está habilitada en la actualización automática, tan pronto como tengamos un parche de seguridad, se puede aplicar de inmediato.

En la época de Qlocker, muchas personas se infectaron después de que reparamos la vulnerabilidad. De hecho, todo ese brote fue después del lanzamiento del parche. Pero muchas personas no aplican un parche de seguridad el mismo día o incluso la misma semana en que se lanza. Y eso hace que sea mucho más difícil detener una campaña de ransomware. Trabajaremos en parches/mejoras de seguridad contra el cerrojo y esperamos que se apliquen de inmediato.

Sé que hay argumentos en ambos sentidos sobre si debemos o no hacer esto. Es una decisión difícil de tomar. Pero es por Deadbolt y por nuestro deseo de detener este ataque lo antes posible que lo hicimos". - Representante de soporte de QNAP.

Lo que no está claro es por qué una actualización forzada al último firmware protegería un dispositivo del ransomware DeadBolt cuando QNAP dijo inicialmente que reducir la exposición de los dispositivos en Internet mitigaría los ataques.

Una posibilidad es que se esté abusando de una vulnerabilidad anterior en QTS para violar los dispositivos QNAP e instalar DeadBolt y que la actualización a este firmware corrija las vulnerabilidades.

Las actualizaciones forzadas llegan demasiado tarde

Desafortunadamente, el movimiento de QNAP puede haber llegado demasiado tarde como investigador de seguridad de CronUP y miembro de Intel curado. Germán Fernández descubrió que DeadBolt ya había cifrado miles de dispositivos QNAP.

Miembro de Intel curado, @ 1ZRR4H, observó eventos de ransomware de QNAP informados a través de motores de búsqueda de IoT, incluidos Shodan y Censys.

Shodan (1160 eventos): https://t.co/qpaCTuICAf

Censys (3687 eventos): https://t.co/uZKLQprSDE

Sugerencia: use etiquetas de países para buscar por país. pic.twitter.com/2IXpCNpBvV

- Inteligencia curada (@CuratedIntel) 27 de enero de 2022

El motor de búsqueda de dispositivos de Internet Shodan informa que DeadBolt cifra 1160 dispositivos NAS de QNAP. Sin embargo, Censys pinta un panorama mucho más sombrío, al encontrar 3687 dispositivos ya encriptados en el momento de escribir este artículo.

Tanto Shodan como Censys muestran que los principales países afectados por este ataque son Estados Unidos, Francia, Taiwán, Reino Unido e Italia.

Para empeorar las cosas, los propietarios de QNAP NAS ya son objeto de otras operaciones de ransomware llamadas Qlocker y eCh0raix, que buscan constantemente nuevos dispositivos para cifrar.

BleepingComputer le ha hecho a QNAP más preguntas sobre la actualización forzada y los ataques DeadBolt.