Se ha detectado una nueva amenaza en nuestro panorama identificado como Ransomware DeadBolt, el cual está cifrando dispositivos NAS de QNAP expuestos hacia internet, para esto esta utilizando lo que se afirma como una vulnerabilidad de día cero (0-day) en el software de estos dispositivos.
Ransomware DeadBolt en Chile
En Chile se ha detectado 6 IP, que han sido afectadas por este Ransomware y a nivel global hay alrededor de 1006 IP que tambien han sido afectadas.
Ransomware DeadBolt
Ransomware DeadBolt es un nuevo malware evidenciado efectuando ataques que comenzaron el 25 de enero recién pasado, cuando los dispositivos de QNAP se encontraron con sus archivos cifrados y a los nombres de los archivos se les agregó la extensión .deadbolt.
Una de las diferencias detectadas respecto a las notas de rescate de otros ransomware es que, en lugar de mostrar una nota de rescate en cada carpeta de estos dispositivos, este secuestra la página de inicio de sesión del dispositivo QNAP para mostrar una pantalla que dice “WARNING: Your files have been locked by DeadBolt”, como la siguiente figura.
Posterior al pago de este rescate, estos ciberactores indican que realizarán una transacción de seguimiento a la misma dirección que incluye la clave de descifrado, la cual se puede recuperar de acuerdo a las siguientes instrucciones:
Aún no hay confirmación de que al pagar estos rescates se reciba una clave de descifrado o que los usuarios puedan acceder a sus archivos.
Medidas de Mitigación
Como medida alternativa y con el objeto de tener acceso a la página de administración se podría obviar la pantalla de rescate usando siguientes URL http://<nas_ip>:8080/cgi-bin/index.cgi o https://<nas_ip>/cgi-bin/index.cgi.
Se debe tener en cuenta que todos los ataques con Ransomware DeadBolt hacia dispositivos NAS de QNAP, solo han afectado a los dispositivos que se encuentran expuestos hacia internet.
Objeto obtener medidas adicionales para proteger dispositivos NAS de QNAP, se recomienda visitar siguiente link:
https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-secure-qnap-nas
También el fabricante de NAS QNAP aconseja a los clientes que deshabiliten el reenvío de puertos en su enrutador y la función UPnP del NAS de QNAP mediante los siguientes pasos:
Clave maestra DeadBolt
Los ciberactores detrás del ransomware DeadBolt están dispuestos a entregar todos los detalles de la supuesta vulnerabilidad de día cero (0-day), previo pago por parte de QNAP de 5 Bitcoins, alrededor de $184,000 dólares.
De igual forma estos ciberactores ofrecen a QNAP la clave maestra de descifrado, la cual en teoría puede descifrar los archivos de todas las víctimas afectadas y la información de la vulnerabilidad de día cero (0-day) por 50 bitcoins, aproximadamente $1,85 millones de dólares, como se muestra en la siguiente figura.
Estos ciberactores detrás de este DeadBolt, indican que la única forma de contactarlos es a través del pago del rescate en Bitcoins. Esto se diferencia de otros ciberactores que normalmente ofrecen otros medios de contacto, ya sea a través de sitios web Tor, correos electrónicos u otro medio de mensajería.
Panorama
Estos ciberactores han sido detectados utilizando este ransomware desde enero 2022, durante este mes se han detectado una gran cantidad de dispositivos NAS de QNAP afectados. A su vez se tienen antecedentes de que estos ataques han tenido presencia a nivel mundial, incluyendo dentro de sus víctimas a Chile.
De acuerdo con las billeteras publicadas como medio de cobro para QNAP no se evidencia registro de transacciones al igual que las billeteras que se han podido analizar de organizaciones afectadas.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Como primera medida se recomienda enfáticamente que todos los usuarios de dispositivos NAS de QNAP desconecten sus dispositivos de Internet y los coloquen detrás de una VPN.
Cambiar credenciales por defecto de cuenta ADMIN de NAS de QNAP.
Producto | Versión |
---|---|
QNAP |
Network Attached Storage (NAS) |