2022/01/28

QNAP força actualização após vaga de ransomware DeadBolt

Os utilizadores com NAS QNAP estão a ficar duplamente frustrados, com um ataque de ransomware e posterior actualização forçada que chegou tarde demais.

Milhares de utilizadores, incluindo alguns dos nossos leitores e o nosso Luis Costa, acordaram para um pesadelo que infelizmente tem atormentado muitas pessoas e empresas: a descoberta de que os seus dados foram feitos reféns por um ransomware.

Neste caso trata-se do ransomware DeadBolt, que se tem aproveitado de vulnerabilidades nos QNAP e tem infectado milhares de dispositivos, exigindo cerca de 1000 euros às vítimas para recuperaram os seus ficheiros.
A situação é má, mas foi ainda complicada por uma actualização forçada da QNAP, que tinha como objectivo proteger os dispositivos contra este ransomware, mas no processo também alterou configurações que fizeram com que deixassem de funcionar nalgumas empresas - e também removesse o descodificador, impedindo que os utilizadores que tinham pago o resgate e estivessem a meio do processo de recuperarem os dados, continuarem o processo.

Era algo que talvez pudesse ter sido bem recebido se tivesse chegado no momento certo, mas que não só chegou tarde de mais, como complicou a vida a muitas das pessoas que já enfrentavam um cenário complicado.

O grupo responsável por este ransomware diz que está disposto a vender os detalhes da vulnerabilidade 0-day à QNAP por 5 Bitcoin (cerca de 33 mil euros), e também uma chave mestra para descodificação dos dados de todas as vítimas por 3.3 milhões de euros.

5 comentários:

  1. Este comentário foi removido pelo autor.

    ResponderEliminar
  2. "5 Bitcoin (cerca de 33 mil euros)" - 33 mil € custa cada bitcoin

    ResponderEliminar
  3. Reaprei nisso, que fizeram update forçado, mas há quem se queixe de ter sido infetado com a versão 5.0.0.1891, ou seja, o problema não parece estar resolvido na última versão ainda de Dezembro. A QNAP fecha-se em copas e não revela nada. Pelo que os utilizadores conseguiram perceber é que ou entraram por alguma falha através da porta 443 ou através do UPNP. O fator comum parece ser o UPNP. Felizmente nunca ativei isso em ninguém, faço sempre a aberturas das portas manualmente.

    ResponderEliminar
  4. É não terem a NAS exposta pra internet, ao terem tem uma falha de segurança independente da NAS ter ou não ter falhas de segurança.

    ResponderEliminar
  5. Nos últimos dias também tenho tido tentativas de login com nomes estranhos (até aqui era quase só admin)

    ResponderEliminar

[pub]