31/01/22
Компания QNAP в принудительном порядке обновила сетевые устройства хранения данных (NAS) клиентов для защиты от программы-вымогателя DeadBolt, которая зашифровала более 3,6 тыс. устройств.
Операторы вымогателя предположительно эксплуатируют уязвимость нулевого дня для взлома устройств QNAP и шифрования файлов с помощью DeadBolt, который добавляет расширение .deadbolt к именам файлов. Вымогатель также заменяет обычную HTML-страницу авторизации в систему запиской требования выкупа в размере 0,03 биткойна (около $1,1 тыс.) в обмен на ключ дешифрования и восстановления данных.
Вымогательская группировка DeadBolt пыталась продать полную информацию о предполагаемой уязвимости нулевого дня в QNAP за 5 биткойнов (около $185 тыс.). Киберпреступники также готовы были продать QNAP главный ключ дешифрования, который может расшифровать всех атакованные устройства и предоставить информацию о предполагаемой уязвимости нулевого дня за 50 биткойнов (примерно $1,85 млн).
Сразу после атаки QNAP начала предупреждать клиентов о необходимости защитить свои устройства NAS, подключенные к интернету, обновив программное обеспечение QTS до последней версии, а также отключив UPnP и переадресацию портов. Позже в тот же день QNAP предприняла более решительные действия и принудительно обновила прошивку для всех устройств NAS клиентов до последней версии 5.0.0.1891 , выпущенной 23 декабря 2021 года.
По словам клиентов QNAP и системных администраторов, QNAP принудительно обновляет прошивку на устройствах, даже если автоматические обновления отключены. Однако обновление не прошло гладко, так как у некоторых пользователей перестали работать соединения iSCSI с устройствами.
Тем временем некоторые пользователи приобрели ключ дешифрования и находились в процессе восстановления данных. Они обнаружили, что обновление прошивки также удалило исполняемый файл программы-вымогателя и экран выкупа, используемый для инициации дешифрования. Это помешало им продолжить процесс расшифровки после завершения обновления устройства.
