Η QNAP προειδοποιεί τους πελάτες για επιθέσεις από το DeadBolt ransomware που ξεκίνησαν το Σάββατο και συνεχίζονται μέχρι σήμερα, χρησιμοποιώντας zero-day bug.
Η πραγματοποίηση των επιθέσεων φαίνεται πως γίνεται χάρη στην εκμετάλλευση μιας ευπάθειας zero-day στο Photo Station. Η εταιρεία έχει διορθώσει την εν λόγω ευπάθεια, αλλά οι επιθέσεις συνεχίζονται.
“Η QNAP® Systems, Inc. εντόπισε σήμερα την απειλή DEADBOLT που εκμεταλλεύεται την ευπάθεια του Photo Station για την κρυπτογράφηση QNAP NAS συσκευών που είναι απευθείας συνδεδεμένες στο Διαδίκτυο“, εξηγεί η ειδοποίηση ασφαλείας της εταιρείας.
Δείτε επίσης: TikTok: Αρνείται ισχυρισμούς για παραβίαση και κλοπή δεδομένων
Οι επιθέσεις ήταν τόσες πολλές, που η υπηρεσία ID Ransomware είδε αυξημένες υποβολές το Σάββατο και την Κυριακή.
Η QNAP κυκλοφόρησε ενημερώσεις κώδικα για τη zero-day ευπάθεια
Η QNAP κυκλοφόρησε ενημερώσεις ασφαλείας για το Photo Station, 12 ώρες αφότου το DeadBolt ransomware άρχισε να χρησιμοποιεί την ευπάθεια zero-day για επιθέσεις. Η εταιρεία προτρέπει όλους τους πελάτες NAS να ενημερώσουν αμέσως το Photo Station στην πιο πρόσφατη έκδοση.
Οι ακόλουθες ενημερώσεις ασφαλείας διορθώνουν την ευπάθεια:
- QTS 5.0.1: Photo Station 6.1.2 και νεότερη έκδοση
- QTS 5.0.0/4.5.x: Photo Station 6.0.22 και νεότερη έκδοση
- QTS 4.3.6: Photo Station 5.7.18 και νεότερη έκδοση
- QTS 4.3.3: Photo Station 5.4.15 και νεότερη έκδοση
- QTS 4.2.6: Photo Station 5.2.14 και νεότερη έκδοση
Αν οι χρήστες δεν θέλουν να εφαρμόσουν τις παραπάνω ενημερώσεις, η QNAP τους προτείνει να αντικαταστήσουν το Photo Station με το QuMagie, ένα ασφαλέστερο εργαλείο διαχείρισης/αποθήκευσης φωτογραφιών για συσκευές QNAP NAS.
Δείτε επίσης: Zero-day ελάττωμα του Google Chrome: Κάντε update άμεσα
Επίσης, η εταιρεία είπε σε δήλωσή της: “Συνιστούμε οι QNAP NAS συσκευές να μην είναι απευθείας συνδεδεμένες στο διαδίκτυο. Συνιστούμε στους χρήστες να κάνουν χρήση της δυνατότητας myQNAPcloud Link που παρέχεται από την QNAP ή να ενεργοποιήσουν την υπηρεσία VPN“.
Η εφαρμογή των ενημερώσεων ασφαλείας είναι απαραίτητη, καθώς θα εμποδίσει το DeadBolt ransomware (και άλλες απειλές) να εκμεταλλευτεί την ευπάθεια και την κρυπτογράφηση συσκευών. Πέρα από αυτό, όμως, είναι σημαντικό οι συσκευές NAS να μην εκτίθενται δημόσια στο Διαδίκτυο και να προστατεύονται με ένα firewall.
Λεπτομερείς οδηγίες σχετικά με την εφαρμογή των ενημερώσεων και τη ρύθμιση του myQNAPcloud, μπορεί κανείς να βρει στο security advisory της εταιρείας.
Τέλος, συνιστάται η χρήση ισχυρών κωδικών πρόσβασης σε όλους τους λογαριασμούς χρηστών NAS και η λήψη τακτικών snapshots για την αποφυγή απώλειας δεδομένων σε περίπτωση επιθέσεων.
Δείτε επίσης: EvilProxy: Επιτρέπει σε όλους τους χάκερ να χρησιμοποιούν προηγμένες τακτικές phishing
DeadBolt ransomware: Στοχεύει συνεχώς QNAP NAS συσκευές
Η ransomware συμμορία DeadBolt στόχευε συσκευές QNAP NAS από τον Ιανουάριο του 2022, χρησιμοποιώντας μια ευπάθεια zero-day σε συσκευές NAS που εκτίθενται στο Διαδίκτυο.
Μόλις κρυπτογραφηθεί το περιεχόμενο της συσκευής, το ransomware προσθέτει το .deadboltextension στο όνομα των επηρεασμένων αρχείων και παραμορφώνει τη σελίδα σύνδεσης του QNAP NAS για να εμφανίσει το ακόλουθο μήνυμα:
“ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Τα αρχεία σας έχουν κλειδωθεί από το DeadBolt“.
Στα τέλη Ιανουαρίου, η QNAP κυκλοφόρησε μια αναγκαστική ενημέρωση firmware για τις συσκευές NAS για να προστατεύσει τους πελάτες της από το ransomware DeadBolt.
Οι χειριστές του συγκεκριμένου ransomware πραγματοποίησαν περαιτέρω επιθέσεις σε συσκευές QNAP τον Μάιο και τον Ιούνιο του 2022.
Στις περισσότερες από αυτές τις επιθέσεις σε QNAP NAS συσκευές, το DeadBolt απαιτεί λύτρα ύψους χιλίων δολαρίων περίπου.
Πηγή: www.bleepingcomputer.com
