A QNAP emitiu um aviso aos clientes que dá conta de uma campanha de ataques de ransomware DeadBolt, que usam uma vulnerabilidade detectada na aplicação Photo Station que permite aos atacantes encriptarem o conteúdo das unidades de armazenamento NAS que estejam ligadas directamente à Internet.
Segundo o serviço ID Ransomware, os ataques foram indiscriminados e aumentaram de intensidade no Sábado e Domingo.
A resposta aos ataques, a QNAP lançou actualizações de segurança para a aplicação Photo Station e pede a todos os utilizadores que as instalem o mais depressa possível.
As actualizações aplicam-se às seguintes combinações de sistema operativo e aplicação Photo Station:
QTS 5.0.1: Photo Station 6.1.2 e posteriores
QTS 5.0.0/4.5.x: Photo Station 6.0.22 e posteriores
QTS 4.3.6: Photo Station 5.7.18 e posteriores
QTS 4.3.3: Photo Station 5.4.15 e posteriores
QTS 4.2.6: Photo Station 5.2.14 e posteriores
Em alternativa, a QNAP sugere a substituição da aplicação Photo Station pela QuMagie, uma solução para gestão de fotografias mais segura para dispositivos NAS da QNAP.
A QNAP também diz: “Pedimos aos utilizadores que não liguem os seus NAS QNAP directamente à Internet. Recomendamos a utilização da funcionalidade myQNAPcloud Link, ou que liguem o serviço de VPN”.
A instalação destas actualizações impede o ransomware DeadBolt a exploração da vulnerabilidade para encriptar os conteúdos dos dispositivos NAS. No entanto, estes dispositivos nunca devem estar ligados directamente à Internet. Em vez disso, devem sempre estar por trás de uma firewall.
Os utilizadores de dispositivos QNAP podem aceder a instruções completas acerca da instalação das actualizações no aviso de segurança publicado pela empresa.
Por fim, a empresa recomenda aos utilizadores fazerem snapshots regulares da informação que esteja armazenada nos dispositivos e que usem passwords fortes para minimizar a perda de dados em caso de ataque.
O grupo DeadBolt começou a atacar dispositivos NAS a partir de Janeiro de 2022, através da utilização de vulnerabilidades encontradas em NAS ligados directamente à Internet. Os ataques específicos a NAS da QNAP foi mais intensa entre Maio e Junho de 2022.
Em Fevereiro, o DeadBolt começou a atacar NAS da Asustor. O grupo tentou vender a informação acerca da vulnerabilidade usada ao fabricante por 7,5 bitcoin.
Na maioria dos ataques, o grupo DeadBolt exigiu um pagamento de pouco mais de 1000 dólares em troca do software necessário para desencriptar os dados. Contudo, outros grupos de ransomware exigiram somas mais significativas. Por exemplo, o grupo Checkmate, atacou dispositivos QNAP em Julho e exigia às vítimas 15000 dólares para poderem voltar a aceder aos dados.