DeadBolt ransomware compromete nuevamente a QNAP

Ransomware DeadBolt vuelve a hacer noticias aplicando la misma estrategia vista en campañas anteriores, atacando masivamente dispositivos QNAP a nivel global mediante una vulnerabilidad Zero-Day realizando un proceso de extorsión a través de criptomonedas tanto para el usuario afectado como directamente para la marca QNAP.

DeadBolt

Deadbolt es un ransomware que si bien ha presentado actividad desde el año 2021 ha sido en enero de 2022 donde ha comenzado a tomar mayor relevancia tras el primer ataque realizado a los dispositivos NAS QNAP utilizando mismo modus operandi, en donde se logra el acceso mediante una vulnerabilidad Zero-Day para luego cifrar los dispositivos y presentar una página de extorsión, en donde se solicita al usuario afectado realizar un pago para que los ciberactores entreguen una clave privada para descifrar sus archivos.

Del actual ataque se identifica un total de 9.571 equipos afectados globalmente mientras que a nivel nacional se identifican sólo 19 equipos afectados con ransomware DeadBolt, en donde absolutamente todos se encuentran expuestos directamente hacia internet sin ninguna tecnología de seguridad intermedia.

Nota de rescate dejada por DeadBolt

Si bien en un inicio el valor de la extorsión a los usuarios era de un monto de 0.03 BTC actualmente este se ha elevado a 0.05 BTC muy probablemente dado por la baja de valor de esta criptodivisa.

Junto a esto, también se añade un mensaje directo a la marca QNAP en el cual exigen un monto de extorsión mucho más elevado, ofrecen dos montos a pagar, uno de valor más bajo que promete entregar los detalles de la vulnerabilidad para que QNAP trabaje en su parchado, mientras que  el segundo por un valor más elevado se entrega el punto anterior junto a una clave maestra de descifrado para todos sus clientes.

En sus primeros ataques el valor únicamente de la información de la vulnerabilidad era de 5 BTC y actualmente ha aumentado a 10 BTC, mientras que los detalles de la vulnerabilidad en conjunto a la clave maestra ascienden a 50 BTC en ambos casos.

Mensaje de rescate dirigido hacia QNAP

Es importante recalcar que la totalidad de los ataque de Deadbolt se caracterizan por explotar vulnerabilidades Zero-Day, por lo que supone son un grupo altamente experimentado que se mantienen aún bajo el anonimato que permite la BlockChain, dado que no cuentan con ningún canal de comunicación ni sitio web de extorsión más que una característica que permite enviar un solo mensaje unidireccional tras la recepción del pago en la red de bitcoin en donde se entrega la clave de descifrado, por lo que es imposible establecer algún tipo  de comunicación escrita o soporte con los actores de amenaza.

Timeline:

• Enero 2022: Cifrado masivo de dispositivos NAS QNAP mediante Zero-Day con primera versión de DeadBolt
  • https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1125/
• Febrero 2022: Cifrado masivo de dispositivos NAS Asustor mediante Zero-Day
• Mayo 2022: Nuevo ataque de cifrado masivo a dispositivos NAS QNAP mediante Zero-Day con segunda versión de DeadBolt
• Septiembre 2022 - NAS Photo Station QNAP mediante Zero-Day con última versión de DeadBolt

Método alternativo de acceso

Como medida alternativa y con el objeto de tener acceso a la página de administración se podría omitir la pantalla de rescate usando la siguiente URL https://<nas_ip>/cgi-bin/index.cgi para el acceso a la pantalla principal de login.

Acceso a login de QNAP tras ataque

Mientras que para acceder a la página principal de Photo Station es posible hacerlo mediante la siguiente URL https://<nas_ip>/photo/gallery/#thumbnail/qsamplealbum

Acceso a login de QNAP Photostation tras ataque

Se debe tener en cuenta que todos los ataques con Ransomware DeadBolt hacia dispositivos NAS de QNAP, sólo han afectado a los dispositivos que se encuentran expuestos hacia internet.

Objeto de obtener medidas adicionales para proteger dispositivos NAS de QNAP, se recomienda visitar siguiente link:

• https://www.qnap.com/en/security-advisory/qsa-22-24

Recomendaciones de QNAP

• Desactive la función de reenvío de puertos en el router.
• Configure myQNAPcloud en el NAS para habilitar el acceso remoto seguro y evitar la exposición a Internet.
• Actualice el firmware del NAS a la última versión.
• Actualice todas las aplicaciones del NAS a sus últimas versiones.
• Aplique contraseñas seguras para todas las cuentas de usuario del NAS.
• Realice instantáneas y copias de seguridad con regularidad para proteger sus datos

Apreciación

Este nuevo evento vinculado a DeadBolt da claras luces que es un equipo completamente activo y que no ha cesado sus operaciones, trabajando activamente en  nuevos métodos para vulnerar a una víctima clara, por lo que es esperable que existan nuevos ataques hacia la marca QNAP en alguna de las aplicaciones que usuarios publican directamente hacia internet lo cual supone una exposición innecesaria  que suele ser tomada por usuarios principalmente domésticos en donde la seguridad digital no se suele priorizar.

Cabe destacar que esta tercera afectación a la marca resulta ser un impacto reputacional importante, pudiendo generar que los usuarios dejen de preferir esta marca en función de tener menos riesgos de perder toda o parte de su información por problemas de seguridad de la marca.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

Como primera medida se recomienda enfáticamente que todos los usuarios de dispositivos NAS de QNAP desconecten sus dispositivos de Internet y los ubiquen idealmente detrás de un acceso VPN o implementar alguna tecnologia de seguridad entre internet y su dispositivo.

Cambiar credenciales por defecto de cuenta ADMIN de NAS de QNAP.

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (Appdata, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.