0
0
A QNAP Systems, com sede em Taiwan, está alertando os consumidores e organizações que usam seus dispositivos de armazenamento conectado à rede (NAS) de uma nova campanha de ransomware DeadBolt.
Também parece haver uma nova campanha ech0raix/QNAPCrypt em andamento, de acordo com várias fontes, embora a QNAP ainda não tenha comentado sobre isso.
Dispositivos NAS são alvos ideais
Os dispositivos NAS são usados principalmente por consumidores e pequenas e médias empresas para armazenar, gerenciar e compartilhar arquivos e backups. Isso os torna um alvo tentador para criminosos que empunham ransomware e se envolvem em esquemas de dupla extorsão.
Como os dispositivos NAS geralmente são acessíveis remotamente pela internet, os criminosos geralmente aproveitam vulnerabilidades de software/firmware ou senhas de conta de administrador de força bruta para obter acesso a eles, roubar e criptografar os arquivos neles e, em seguida, pedir um resgate para restaurá-los. Às vezes, eles são comprometidos e equipados com criptomineradores.
Os atacantes geralmente se concentram em atingir dispositivos QNAP e Synology NAS, mas aqueles de outros fabricantes (Western Digital, Seagate, Zyxel, etc.) também são ocasionalmente alvo.
DeadBolt e ech0raix atacam novamente
“O QNAP detectou recentemente uma nova campanha de ransomware DeadBolt. De acordo com relatórios de vítimas até agora, a campanha parece ter como alvo dispositivos QNAP NAS executando versões desatualizadas do QTS 4.x”, alertou a empresa na sexta-feira e prometeu fornecer mais informações o mais rápido possível.
A QNAP aconselha todos os usuários a atualizar o firmware do herói QTS ou QuTS dos dispositivos para a versão mais recente, mas observa que os usuários que foram atingidos pelo DeadBolt primeiro fazem a captura de tela da nota de resgate para manter o endereço bitcoin e, em seguida, atualizar para a versão mais recente do firmware.
O aplicativo Malware Remover integrado colocará automaticamente em quarentena a nota de resgate que sequestra a página de login, explicou a empresa, e pediu aos usuários que pedissem ajuda se quiserem inserir uma chave de descriptografia recebida e não conseguirem encontrar a nota de resgate após a atualização do firmware.
“O DeadBolt oferece dois esquemas de pagamento diferentes: ou uma vítima paga por uma chave de decodificação ou o fornecedor paga por uma chave mestra de descriptografia que teoricamente funcionaria para descriptografar dados para todas as vítimas. No entanto, até o momento em que escrevo, ainda não encontramos evidências de que a descriptografia por meio de uma chave mestra seja possível”, observaram pesquisadores da Trend Micro no início deste mês.
Outro interessante é que os criadores do DeadBolt automatizaram o processo de entrega de chaves de descriptografia.
“[Eles] construíram uma interface do usuário da web que pode descriptografar os dados da vítima após o pagamento do resgate e uma chave de descriptografia ser fornecida. O campo OP_RETURN da transação blockchain fornece automaticamente a chave de descriptografia para a vítima assim que o pagamento do ransomware for feito. Este é um processo único em que as vítimas não precisam entrar em contato com os atores do ransomware — na verdade, não há como fazê-lo”, explicou a Trend Micro.
Simultaneamente, relatórios de usuários e envios de amostras na plataforma ID Ransomware indicam que os criminosos que usam o ransomware ech0raix estão novamente visando dispositivos QNAP NAS, informou o Bleeping Computer, embora o vetor de ataque ainda seja desconhecido.
Conselhos de mitigação de riscos
Enquanto esperamos por mais informações sobre a campanha ech0raix da QNAP, os usuários devem implementar recomendações de segurança fornecidas anteriormente pela empresa e, em geral, considerar a implementação dessas melhores práticas para melhorar a segurança do NAS.
“Software desatualizado ou não mantido é um dos principais métodos para comprometer os dispositivos NAS hoje em dia. Isso é especialmente verdadeiro para aplicativos de terceiros que podem ser instalados em lojas comunitárias ou na internet”, diz a Trend Micro.
“Ao instalar esses aplicativos, recomenda-se ter muito cuidado desde o início. Também é recomendado que os usuários mantenham os aplicativos que o fornecedor do NAS forneceu e verificou, para habilitar apenas aqueles que estão sendo utilizados atualmente e remover aqueles que não estão em uso.”
FONTE: HELPNET SECURITY