Urządzenia QNAP NAS na całym świecie padły ofiarą szeroko zakrojonego cyberataku po tym, jak grupa oprogramowania ransomware DeadBolt zaczęła szyfrować urządzenia pamięci masowej podłączone do sieci.
Użytkownicy QNAP NAS zgłosili, że ich pliki są zaszyfrowane z rozszerzeniem .deadbolt.
Użytkowników spotkał ekran z komunikatem „OSTRZEŻENIE: Twoje pliki zostały zablokowane przez DeadBolt” z dopiskiem „Możesz dokonać płatności w wysokości (dokładnie) 0.030000 bitcoinów na następujący adres”.
Pękanie zamka
Ofiary otrzymały klucz odszyfrowujący umożliwiający odzyskanie plików w ramach kolejnej transakcji, chociaż nie ma potwierdzenia, że zapłacenie okupu doprowadzi do pomyślnego odszyfrowania plików.
Firma QNAP zapewniła klientów, że mogą uzyskać dostęp do swojej strony zarządzania, przechodząc pod adres http://nas_ip:8080/cgi-bin/index.cgi lub https://nas_ip/cgi-bin/index.cgi. Obiecuje również, że zespół reagowania na incydenty związane z bezpieczeństwem produktu przeprowadzi dochodzenie.
Użytkownikom zaleca się odłączenie swoich urządzeń i umieszczenie ich za zaporą sieciową do czasu znalezienia rozwiązania. Bez dostępu do Internetu ataki na urządzenia pamięci masowej podłączone do sieci (lub jakiekolwiek inne urządzenie podłączone do sieci) powinny być niemożliwe.
DeadBolt oferuje firmie QNAP udostępnienie luki dnia zerowego, która umożliwiła grupie ransomware dostęp do urządzeń za cenę 5 BTC. To, wraz z głównym kluczem deszyfrującym, będzie kosztować firmę 50 BTC.
Bez dedykowanej strony internetowej lub usługi e-mail gang stwierdził, że jedynym sposobem na nawiązanie kontaktu jest płatność Bitcoinem. Grupa obiecała jednak przesłanie informacji o dniu zerowym na adres e-mail [email chroniony] QNAP-a.