El nuevo ransomware DeadBolt se dirige a los dispositivos QNAP, cifrando los datos de los usuarios, para el pedido de rescate en Bitcoin por la clave maestra. Los ataques han afectado a los dispositivos vulnerables de almacenamiento conectado a la red (NAS) de QNAP expuestos a Internet.
La nota de pedido rescate incluye una nota adicional de DeadBolt a QNAP, en la que se afirma que el autor de la amenaza se dirige a los usuarios a través de una vulnerabilidad de día cero (Zero-Day) y que, para recibir los detalles de dicha vulnerabilidad y una clave de descifrado universal, el proveedor debe enviar 50 bitcoins.
Recomendamos seguir las instrucciones de configuración de seguridad que se indican a continuación:
- Evitar conectar un equipo QNAP NAS directamente a internet sin la utilización de una conexión VPN segura.
- Si su equipo QNAP NAS está expuesto a Internet, ejecutar los siguientes pasos:
1. Deshabilite la función de reenvío de puertos del router:
Vaya a la interfaz de administración de su router, verifique la configuración del Servidor virtual, NAT o Reenvío de puertos y deshabilite la configuración de reenvío de puertos del puerto del servicio de administración NAS (puerto 8080 y 443 de forma predeterminada).
2. Desactive la función UPnP del NAS de QNAP:
Vaya a myQNAPcloud en el menú QTS, haga clic en «Configuración automática del enrutador» y anule la selección de «Habilitar el reenvío de puertos UPnP».
Adicionalmente, una vez pagado el rescate es posible utilizar una herramienta de descifrado proveída por Emsisoft; debido a que en mútliples ocasiones no funciona el descifrador proveído por DeadBolt siguiendo la guía proveída por el fabricante:
Referencias:
- https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-stop-your-nas-from-exposing-to-the-internet-and-fight-against-ransomware-together
- https://www.bleepingcomputer.com/news/security/new-deadbolt-ransomware-targets-qnap-devices-asks-50-btc-for-master-key/
- https://www.securityweek.com/qnap-warns-nas-users-deadbolt-ransomware-attacks
- https://www.infosecurity-magazine.com/news/qnap-act-now-to-mitigate-deadbolt/