NAS-y QNAP zagrożone atakiem DeadBolt. Pilnie zablokuj 2 funkcje
Właściciele NAS-ów firmy QNAP powinni możliwie szybko podjąć niezbędne kroki, by ochronić swoje urządzenia przed atakiem oprogramowaniem DeadBolt. To ransomware, który skutecznie zaszyfruje dyski i będzie żądać zapłaty w bitcoinach, by odzyskać dane.
W związku z doniesieniami o kolejnych atakach ransomware skierowanych na urządzenia NAS firmy QNAP, producent wydał krótką instrukcję, w której tłumaczy jak możliwie szybko zabezpieczyć sprzęt. W tym momencie kluczowe jest wycofanie zdalnego dostępu do NAS-a przez internet i co zwykle się z tym wiąże - wyłączenie mechanizmu przekierowania portów w routerze.
Szczegóły opisano w krótkim ogłoszeniu. QNAP zaleca rozpocząć zmianę ustawień od od NAS-a i włączenia Security Counselor. Tutaj można sprawdzić, czy NAS jest obecnie osiągalny z internetu dzięki zewnętrznemu adresowi IP. Jeśli nie - użytkownik jest bezpieczny. Jeśli tak - należy przejść do dwóch kolejnych kroków.
Pierwszy to wyłączenie przekierowania portów w routerze. QNAP podaje, że do zdalnego zarządzania NAS-ami domyślnie wykorzystywane są porty 8080 oraz 443, ale konkretną sytuację można dodatkowo potwierdzić z wykorzystaniem internetowych narzędzi. We własnym zakresie analizując ustawienia swojego routera, należy odszukać opcje portów, wirtualnego serwera, bądź opcje NAT i wyłączyć ich przekierowanie.
Kolejny etap to wyłączenie funkcji UPnP w samym NAS-ie. W tym celu należy odwiedzić panel myQNAPcloud, przejść do zakładki automatycznej konfiguracji routera i odznaczyć opcję przekierowania portów UPnP. Jak podkreśla QNAP, wyłączenie opisanych wyżej mechanizmów nie uniemożliwia zdalnego dostępu do NAS-a przez usługę myQNAPcloud Link, ale opisywany atak nie dotyczy tego mechanizmu.
Nietypowa propozycja dla QNAP-a
Jak deklarują atakujący, którzy zastosowali ransomware DeadBolt, użytkownicy zostali zaatakowani z powodu luki 0-day w oprogramowaniu NAS-ów. Atakujący proponują producentowi dwa rozwiązania. Pierwsza opcja to płatność 5 BTC (około 736 tys. złotych), by otrzymać informacje o luce drogą mailową i załatać ją w aktualizacji oprogramowania.
Druga opcja jest dużo ciekawsza i nietypowa, bo zakłada płatność 50 BTC (około 7,3 mln złotych), aby dodatkowo otrzymać uniwersalny klucz deszyfrujący, którym uda się odblokować wszystkie NAS-y klientów. Sami zaatakowani są zaś wzywani do zapłaty 0,03 BTC (około 4,4 tys. złotych), by otrzymać indywidualny klucz i odszyfrować dane.
