QNAP принудительно обновила NAS-устройства после атаки вымогателя DeadBolt

31.01.2022

Компания QNAP в принудительном порядке обновила сетевые устройства хранения данных (NAS) клиентов для защиты от программы-вымогателя DeadBolt, которая зашифровала более 3,6 тыс. устройств, сообщает SecurityLab.

Операторы вымогателя предположительно эксплуатируют уязвимость нулевого дня для взлома устройств QNAP и шифрования файлов с помощью DeadBolt, который добавляет расширение .deadbolt к именам файлов. Вымогатель также заменяет обычную HTML-страницу авторизации в систему запиской требования выкупа в размере 0,03 биткойна (около $1,1 тыс.) в обмен на ключ дешифрования и восстановления данных.

Вымогательская группировка DeadBolt пыталась продать полную информацию о предполагаемой уязвимости нулевого дня в QNAP за 5 биткойнов (около $185 тыс.). Киберпреступники также готовы были продать QNAP главный ключ дешифрования, который может расшифровать всех атакованные устройства и предоставить информацию о предполагаемой уязвимости нулевого дня за 50 биткойнов (примерно $1,85 млн).

Сразу после атаки QNAP начала предупреждать клиентов о необходимости защитить свои устройства NAS, подключенные к интернету, обновив программное обеспечение QTS до последней версии, а также отключив UPnP и переадресацию портов. Позже в тот же день QNAP предприняла более решительные действия и принудительно обновила прошивку для всех устройств NAS клиентов до последней версии 5.0.0.1891 , выпущенной 23 декабря 2021 года.

По словам клиентов QNAP и системных администраторов, QNAP принудительно обновляет прошивку на устройствах, даже если автоматические обновления отключены. Однако обновление не прошло гладко, так как у некоторых пользователей перестали работать соединения iSCSI с устройствами.

Тем временем некоторые пользователи приобрели ключ дешифрования и находились в процессе восстановления данных. Они обнаружили, что обновление прошивки также удалило исполняемый файл программы-вымогателя и экран выкупа, используемый для инициации дешифрования. Это помешало им продолжить процесс расшифровки после завершения обновления устройства.

похожие материалы

Роскомнадзор назвал страны-источники вредоносного трафика

Роскомнадзор сообщил, что доля зарубежного вредоносного трафика, поступающего в Россию, во втором полугодии 2025 года оставалась стабильно высокой.

подробнее

Мошенники захватывают опубликованные домены Snap Email для распространения вредоносного ПО

Исследователи по кибербезопасности обнаружили новую тактику злоумышленников, которые используют захваченные опубликованные домены проекта Snap Email для размещения вредоносного ПО и фишинговых материалов.

подробнее

Исследователи «перехватили» куки у авторов одного из крупнейших cookie-стилеров

Специалисты по кибербезопасности из CyberArk Labs рассказали о необычном случае исследования вредоносного ПО - им удалось извлечь активные session-cookies из инфраструктуры самого стилера, который предназначен для кражи куки у пользователей.

подробнее

Приложения в App Store сливают данные пользователей

Исследователи обнаружили в App Store сотни приложений, сливающих пользовательские данные — от имён и адресов электронной почты до истории чатов.

подробнее

Мошенники используют игру в кости в Telegram для обмана пользователей

В мессенджере Telegram злоумышленники начали применять схему обмана, основанную на виртуальной игре в кости, чтобы выманивать у людей деньги и личные данные.

подробнее