Ransomware DeadBolt dirigido a dispositivos de almacenamiento QNAP NAS

27/01/2022 Noticias 0

El nuevo ransomware DeadBolt se dirige a los dispositivos QNAP, cifrando los datos de los usuarios, para el pedido de rescate en Bitcoin por la clave maestra. Los ataques han afectado a los dispositivos vulnerables de almacenamiento conectado a la red (NAS) de QNAP expuestos a Internet.

La nota de pedido rescate incluye una nota adicional de DeadBolt a QNAP, en la que se afirma que el autor de la amenaza se dirige a los usuarios a través de una vulnerabilidad de día cero (Zero-Day) y que, para recibir los detalles de dicha vulnerabilidad y una clave de descifrado universal, el proveedor debe enviar 50 bitcoins.

Recomendamos seguir las instrucciones de configuración de seguridad que se indican a continuación:

  • Evitar conectar un equipo QNAP NAS directamente a internet sin la utilización de una conexión VPN segura.
  • Si su equipo QNAP NAS está expuesto a Internet, ejecutar los siguientes pasos:

1. Deshabilite la función de reenvío de puertos del router:

Vaya a la interfaz de administración de su router, verifique la configuración del Servidor virtual, NAT o Reenvío de puertos y deshabilite la configuración de reenvío de puertos del puerto del servicio de administración NAS (puerto 8080 y 443 de forma predeterminada).

2. Desactive la función UPnP del NAS de QNAP:

Vaya a myQNAPcloud en el menú QTS, haga clic en «Configuración automática del enrutador» y anule la selección de «Habilitar el reenvío de puertos UPnP».

Adicionalmente, una vez pagado el rescate es posible utilizar una herramienta de descifrado proveída por Emsisoft; debido a que en mútliples ocasiones no funciona el descifrador proveído por DeadBolt siguiendo la guía proveída por el fabricante:

Referencias:

Compartir: