L’azienda taiwanese QNAP ha avvertito i clienti di proteggere dispositivi e router NAS (Network Attached Storage) da una nuova variante di ransomware chiamata DeadBolt.
“DeadBolt ha preso di mira tutti i NAS esposti a Internet senza alcuna protezione e crittografando i dati degli utenti per il riscatto di Bitcoin”, ha affermato la società. “QNAP esorta tutti gli utenti QNAP NAS ad aggiornare immediatamente QTS all’ultima versione disponibile.”
Una query sul motore di ricerca IoT Censys mostra che almeno 3.687 dispositivi sono stati finora crittografati dal ransomware DeadBolt, con la maggior parte dei dispositivi NAS situati negli Stati Uniti, Taiwan, Francia, Italia, Regno Unito, Hong Kong, Germania, Paesi Bassi, Polonia e Corea del Sud.
QNAP invita gli utenti a verificare se i loro dispositivi NAS sono rivolti al pubblico e, in tal caso, ad adottare misure per disattivare la funzione di port forwarding del router e disabilitare la funzione Universal Plug and Play (UPnP) del QNAP NAS .
L’avviso arriva quando Bleeping Computer ha rivelato che i dispositivi QNAP NAS vengono crittografati dal ransomware DeadBolt sfruttando una presunta vulnerabilità zero-day nel software del dispositivo. Si ritiene che gli attacchi siano iniziati il 25 gennaio.
Il ceppo ransomware, che blocca i file con un’estensione di file “.deadbolt“, richiede alle vittime di pagare un riscatto di 0,03 bitcoin a un indirizzo Bitcoin univoco in cambio di una chiave di decrittazione.
Inoltre, i sviluppatori del ransomware hanno affermato di essere disposti a offrire i dettagli completi del presunto difetto zero-day se QNAP paga loro cinque bitcoin. È anche pronto a vendere la chiave di decrittazione principale che può essere utilizzata per sbloccare i file per tutte le vittime interessate per altri 45 bitcoin.
