ГИС

Qnap: шифровальщик DeadBolt использует уязвимость, исправленную в декабре

02.02.2022
Qnap: шифровальщик DeadBolt использует уязвимость, исправленную в декабре
Компания Qnap предупреждает владельцев NAS о необходимости включить автоматическое обновление прошивки на своих устройствах для защиты от атак шифровальщика DeadBolt, пишет Хакер.

О волне атак на Qnap NAS мы уже рассказывали ранее. Напомню, что изначально сообщалось, что DeadBolt шифрует устройства, используя некую 0-day уязвимость. Взломы начались 25 января 2022 года, когда владельцы устройств Qnap стали обнаруживать, что их файлы зашифрованы, а имена файлов дополнены расширением .deadbolt.

Интересно, что в записке с требованием выкупа хакеры оставили отдельное сообщение для разработчиков, озаглавленное «Важное сообщение для Qnap». Авторы малвари DeadBolt пишут, что готовы раскрыть полную информацию об используемой ими уязвимости нулевого дня, если компания заплатит им 5 биткоинов (примерно 184 000 долларов США). Также они сообщали, что готовы продать мастер-ключ, который поможет расшифровать файлы всех жертв, и информацию о 0-day за 50 биткоинов, то есть почти за 1,85 миллиона долларов США.

В итоге компания Qnap была вынуждена принудительно устанавливать обновления прошивок на свои NAS, стараясь воспрепятствовать атакам вымогателя, который, по состоянию на 28 января 2022 года, зашифровал более 3600 устройств.

Как теперь рассказывают в Qnap, малварь эксплуатирует исправленную в декабре 2021 года уязвимость, «описанную в бюллетене безопасности QNAP (QSA-21-57)». В компании сообщили изданию Bleeping Computer, что принудительно распространяли обновления, так как, по их данным, злоумышленники используют RCE-уязвимость, исправленную в прошивке 5.0.0.1891.

Согласно Qnap, ошибка была устранена в следующих версиях QTS и QuTS hero:

  • QTS 5.0.0.1891, сборка 20211221 и более поздние версии;
  • QTS 4.5.4.1892, сборка 20211223 и более поздние версии;
  • Hero QuTS h5.0.0.1892 сборка 20211222 и выше;
  • Hero QuTS h4.5.4.1892 сборка 20211223 и выше;
  • QuTScloud c5.0.0.1919 сборка 20220119 и выше.
Журналисты отмечают, что на форуме Qnap уже есть жалобы от пользователей, чьи данные были зашифрованы даже при использовании новейших версий прошивки. То есть злоумышленники, вероятно, используют другую уязвимость.