Il nuovo ransomware DeadBolt sta crittografando i dispositivi NAS QNAP in tutto il mondo utilizzando quella che affermano essere una vulnerabilità zero-day nel software del dispositivo.
Gli attacchi sono iniziati ieri, 25 gennaio, e i dispositivi QNAP che sono stati attaccati hanno improvvisamente trovato i file crittografati con un’estensione di file .deadbolt .
Invece di creare note di riscatto in ogni cartella del dispositivo, la pagina di accesso del dispositivo QNAP viene dirottata per visualizzare una schermata che indica “ATTENZIONE: i tuoi file sono stati bloccati da DeadBolt”, come mostrato nell’immagine seguente.
Questa schermata informa la vittima che dovrebbe pagare 0,03 bitcoin (circa $ 1.100) a un indirizzo Bitcoin (univoco per ciascuna vittima).
Dopo aver effettuato il pagamento, gli autori della minaccia affermano che effettueranno una transazione successiva allo stesso indirizzo che include la chiave di decrittazione, che può essere recuperata utilizzando le seguenti istruzioni.
Questa chiave di decrittazione dovrebbe quindi essere inserita per decrittografare i file del dispositivo e dunque recuperarli, ma al momento, non vi è alcuna conferma che il pagamento di un riscatto comporterà la ricezione di una chiave di decrittazione o che gli utenti saranno in grado di decrittografare i propri file.
Va detto, per completare le informazioni che i QNAS che potrebbero essere attaccati devono però essere collegati ad Internet, pertanto per gli utilizzi stand alone, senza i servizi web, i file sono al sicuro.
Poiché gli attori delle minacce affermano che l’attacco è condotto attraverso una vulnerabilità zero-day, si consiglia vivamente a tutti gli utenti QNAP di disconnettere i propri dispositivi da Internet e posizionarli dietro un firewall. Oltre a questo QNAP consiglia di eseguire delle azioni per prevenire attacchi futuri, descritte dettagliatamente sul sito del produttore.
[UPDATE]
Nella schermata principale della richiesta di riscatto, è presente un collegamento intitolato “messaggio importante per QNAP” che, se cliccato, visualizzerà un messaggio del team DeadBolt specifico per QNAP.
In questa schermata, la banda di ransomware DeadBolt offre tutti i dettagli della presunta vulnerabilità zero-day per QNAP e chiede 5 Bitcoin del valore di circa $ 184.000.
Sono inoltre disposti a vendere a QNAP la chiave di decrittazione principale in grado di decrittografare i file di tutte le vittime interessate e le informazioni zero-day per 50 bitcoin, ovvero circa 1,85 milioni di dollari.
“Effettua un pagamento bitcoin di 50 BTC a bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8”, hanno scritto gli attori della minaccia in un messaggio a QNAP.
“Riceverai una chiave universale di decrittazione (e istruzioni) che può essere utilizzata per sbloccare i file di tutti i tuoi clienti. Inoltre, ti invieremo tutti i dettagli sulla vulnerabilità zero-day a [email protected].”.
Che dire… Un bel problema per chi è stato coinvolto.
