Um novo grupo de ransomware DeadBolt está a encriptar equipamentos NAS QNAP por todo o mundo utilizando uma vulnerabilidade 0-day no equipamento.
Os ataques iniciaram no final do dia de ontem, surpreendendo os utilizadores com os ficheiros encriptados e com os nomes dos ficheiros com uma extensão nova .deadbolt. Também ao contrário do costume em que cada pasta tem a sua própria “ransom note” (note de extorção), este novo ataque é caracterizado por logo no login levar o utilizador para uma página diferente da habitual onde é apresentado o aviso de ransomware, conforme a imagem abaixo representa:
Este ecrã informa a vítima de que deverá ser paga a quantia de 0.03 bitcoins (aproximadamente 1.100$USD). Cada endereço é específico a cada vítima.
Após o pagamento ser feito, os autores da ameaça dizem ir fazer uma transação para o mesmo endereço de uma chave de desencriptação que pode ser recuperada utilizando as seguintes instruções:
Esta chave de desencriptação pode depois ser inserida num ecrã para desencriptar os ficheiros do seu equipamento. Até ao momento não existe ainda confirmação de que pagar o resgate irá efetivamente garantir o envio de uma chave de desencriptação ou que os utilizadores vão conseguir desencriptar os ficheiros com a mesma.
Até ao momento não existe também informação de que este ataque esteja-se a focar numa alguma zona específica. Tudo indica que é um ataque global. Também é importante referir que este ataque só afeta os aparelhos com acesso à Internet. Tratando-se de um ataque que explora aquilo que é considerado uma vulnerabilidade do 0-day, sem solução conhecida até ao momento, é fortemente recomendado que todo os utilizadores de QNAP desliguem os seus equipamentos da internet e os coloquem sobre a proteção de uma firewall.
Na nota de resgate, é ainda deixada uma mensagem direcionada à própria QNAP, onde o grupo indica facultar toda a informação sobre a vulnerabilidade descoberta se a QNAP pagar 5 bitcoins, cerca de 184.00$USD. Também dizem estar dispostos a vender a chave mestre de desencriptação que funcionará em todos os casos e vitimas por 50 bitcoins ou aproximadamente 1.85$ milhões.
Atualização:
A QNAP avisa novamente todos os utilizadores de NAS com acesso à internet para garantirem a segurança dos seus dispositivos por forma a os defenderem contra o ataque que está de momento a decorrer.
“DeadBolt está a focar-se em equipamentos NAS com acesso à internet e sem qualquer proteção encriptando as informações dos clientes com ransomware pedindo um resgate em bitcoin” é possível ler no comunicado oficial da empresa lançado no dia de hoje. “O seu NAS está exposto à internet e em elevado risco se o sistema administrativo for possível de aceder diretamente a partir da Internet por um IP externo através de protocolos HTTP’ ou do painel de controlo.”
Todos os utilizadores QNAP são altamente encorajados a atualizar o QTS à versão mais recente disponíveis por forma a bloquear ataques DeadBolt que existam. Os fabricantes da QNAP também aconselham aos utilizadores desabilitar imediatamente o Encaminhamento de Portas no seu rooter e a função UPnP dos NAS QNAP.
