Nas QNAP nel mirino degli hacker: attacco ransomware DeadBolt

I dispositivi NAS dell’azienda QNAP dal 25 gennaio 2022 potrebbero subire attacchi del ransomware DeadBolt, il cui obiettivo è sempre il medesimo: cifrare i dati archiviati per poi chiedere all’utente il pagamento di un riscatto per poterne rientrare in possesso. A lanciare l’allarme sono stati alcuni utenti i cui file sono stati cifrati e modificati con l’estensione .deadbolt.

La casa produttrice stessa, la QNAP, ha confermato la scoperta di una falla su alcune versioni e, memore degli attacchi già subiti da QLocaker, Ch0raix e AgeLocker, invita tutti gli utenti ad installare una patch di sicurezza. 

Un attacco ransomware ai NAS di tutto il mondo

Il problema è particolarmente serio, QNAP è una multinazionale che ha sede a Taiwan e che opera in tutto il mondo, Italia compresa. I dispositivi NAS vengono utilizzati da aziende in tutto il mondo le quali archiviano solitamente documenti fondamentali. I settori coinvolti sono svariati, proprio perché la soluzione offerta da QNAP è rapida, economica e facilmente accessibile. QNAP è stata contattata da alcuni media specializzati in cybersicurezza, ma non ha ancora fornito una dichiarazione ufficiale in risposta all’accaduto.

NAS: cos'è e a cosa serve? 

Per comprendere meglio l’attacco in atto, è necessario spiegare cosa siano i dispositivi NAS.

Un NAS è un sistema di archiviazione di rete che permette di archiviare una grande quantità di dati che, attraverso internet, sono accessibili per tutti gli utenti autorizzati al loro utilizzo. Utilizzando un dispositivo NAS si facilitano le soluzioni di archiviazione, non mancano però delle criticità, come ad esempio la potenziale accessibilità dei dati dall’esterno, motivo per cui è sufficiente l’utilizzo di una password debole per esporre l’azienda al furto dei dati. Una criticità che si amplifica se la stessa casa produttrice del dispositivo è sotto attacco hacker, come sta succedendo in questi giorni. 

Attacco Hacker a QNAP: cosa sta succedendo

Dal 25 gennaio numerosi utenti hanno visto apparire sul proprio schermo questo messaggio.

L’autore del messaggio è un gruppo di  hacker che si fa chiamare DeadBolt. Dopo aver cifrato i dati, richiedeno un riscatto di  di 0,03000 bitcoin, pari circa a mille euro.

Hacker di questo tipo solitamente promettono di fornire la chiave di decrittazione dei dati, ma va specificato che pagare il riscatto non risolve il problema. Nel loro messaggio, gli hacker fanno riferimento allo sfruttamento di una vulnerabilità zero-day. L’azienda conferma che è appena stata scoperta una falla che colpisce le versioni QTS 4.5.3 e successive e QuTS hero h4.5.3 e successive. Se sfruttata, la falla consente  di eseguire qualsiasi codice dannoso per il dispositivo.

Non sono interessate le versioni del sistema operativo QTS 5.0.0.1891 build 20211221 e successive, QTS 4.5.4.1892 build 20211223 e successive, QuTS hero h5.0.0.1892 build 20211222 e successive e QuTScloud c5.0.0.1919 build 20220119 e successive.

QNAP rilascia una patch di sicurezza

L’azienda ha rilasciato un patch per risolvere la falla recentemente scoperta. Per forzare l’aggiornamento del sistema operativo è necessario accedere all’interfaccia di gestione e seguire il percorso Pannello di controllo / Sistema / Aggiorna firmware, quindi selezionare la voce controlla aggiornamento e dare corso all’installazione. In alternativa si può scaricare l’ultima versione firmware dal web, attuando una ricerca sul sito del produttore per modello di NAS.