شرکت تایوانی QNAP به مشتریان هشدار داده است که وسایل و روترهای ذخیرهسازی متصل به شبکه (NAS) را در برابر نوع جدیدی از باجافزار به نام DeadBolt ایمن کنند.
این شرکت گفت[۱]: DeadBolt بهطور گسترده تمام NAS های در معرض اینترنت و بدون هیچگونه حفاظتی را هدف قرار داده است و دادههای کاربران را برای باجخواهی (دریافت بیت کوین درازای بازگشایی فایلها) رمزگذاری کرده است. QNAP از همه کاربران QNAP NAS میخواهد که فوراً QTS را به آخرین نسخه موجود بهروزرسانی کنند.
یک query در موتور جستجوی اینترنت اشیا Censys نشان میدهد[۲] که حداقل ۳۶۸۷ دستگاه[۳] تاکنون توسط باج افزار DeadBolt رمزگذاری شدهاند، که اکثر دستگاههای NAS در ایالاتمتحده، تایوان، فرانسه، ایتالیا، بریتانیا، هنگکنگ، آلمان، هلند، لهستان و کره جنوبی قرار دارند.
علاوه بر این، QNAP همچنین از کاربران میخواهد بررسی کنند که آیا دستگاههای NAS آنها در دسترس عموم است یا خیر و در این صورت، اقداماتی را برای خاموش کردن عملکرد ارسال پورت روتر و غیرفعال کردن عملکرد عمومی Plug and Play (UPnP) QNAP NAS انجام دهند[۴].
این توصیه زمانی ارائه شد که Bleeping Computer فاش کرد[۵] که دستگاههای QNAP NAS توسط باج افزار DeadBolt با بهرهبرداری از یک آسیبپذیری فرضی روز صفر در نرمافزار دستگاه رمزگذاری میشوند. گفته میشود که این حملات در ۲۵ ژانویه آغاز شده است.
این نوع باجافزار، که فایلها را با پسوند فایل «.deadbolt» قفل میکند[۶]، از قربانیان میخواهد درازای دریافت یک کلید رمزگشایی، باجی به مقدار ۰٫۰۳ بیتکوین (تقریباً ۱۱۰۰ دلار) را به یک آدرس بیتکوین منحصربهفرد بپردازند.
علاوه بر این، اپراتورهای باج افزار ادعا کردند[۷] که اگر QNAP پنج بیت کوین (حدود ۱۸۶۷۰۰ دلار) به آنها پرداخت کند، مایلاند جزئیات کامل نقص ادعایی روز صفر را ارائه دهند. همچنین آماده هستند تا کلید رمزگشایی اصلی را که میتواند برای باز کردن قفل فایلها برای همه قربانیان آسیبدیده استفاده شود، با ۴۵ بیت کوین اضافی (۱٫۷ میلیون دلار) بفروشند.
درحالیکه مشخص نیست QNAP به تقاضای اخاذی توجه کرده است یا خیر، این شرکت در Reddit اذعان کرد[۸] که بهاجبار یک بهروزرسانی firmware اضطراری را برای «افزایش حفاظت» در برابر باجافزار نصب کرده است و افزود: «این تصمیم سخت است. اما به دلیل DeadBolt و تمایل ما برای متوقف کردن این حمله در اسرع وقت است که این کار را انجام دادیم.”
دستگاههای QNAP هدف مکرر گروههای باجافزار[۹] و دیگر بازیگران جنایتکار[۱۰] قرارگرفتهاند، که باعث شده این شرکت در ماههای اخیر هشدارهای متعددی را صادر کند. در ۷ ژانویه، به مشتریان توصیه کرد[۱۱] که از دستگاههای NAS خود در برابر حملات باجافزار و brute-force محافظت کنند و اطمینان حاصل کنند که در معرض اینترنت نیستند.
زمانی که برای دریافت پاسخ تماس گرفتیم، QNAP گفت که این بهروزرسانی بهعنوان بخشی از ویژگی بهروزرسانی خودکار QTS فعال شده است. این شرکت به The Hacker News گفت: “QNAP PSIRT از ویژگی بهروزرسانی QTS برای جلوگیری از حمله باجافزار DeadBolt یا سایر بدافزارها استفاده میکند.” این شرکت همچنین اضافه کرد: ” این دژافزار از یکی از آسیبپذیریهای رفع شده در این نسخه در QSA-21-57 بهرهبرداری کرد[۱۲].”
این شرکت همچنین گفت که این آسیبپذیری مربوط به نقصی است که بر سیستمعاملهای QTS و QuTS تأثیر میگذارد که در صورت بهرهبرداری موفقیتآمیز، میتواند به مهاجمان اجازه دهد تا کد دلخواه را در سیستم آسیبدیده اجرا کنند. این مشکل در نسخههای زیر برطرف شده است:
- QTS 5.0.0.1891 نسخه ۲۰۲۱۱۲۲۱ و بالاتر
- QTS 4.5.4.1892 نسخه ۲۰۲۱۱۲۲۳ به بعد
- QuTS hero h5.0.0.1892 نسخه ۲۰۲۱۱۲۲۲ و جدیدتر
- QuTScloud c5.0.0.1919 نسخه ۲۰۲۲۰۱۱۹ و جدیدتر
منابع
[۱] https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-stop-your-nas-from-exposing-to-the-internet-and-fight-against-ransomware-together
[۲] https://censys.io/blog/the-qnapping-of-qnap-devices
[۳] https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=100&virtual_hosts=EXCLUDE&q=services.http.response.body%3A+%22All+your+files+have+been+locked+by+DeadBolt%22
[۴] https://en.wikipedia.org/wiki/Universal_Plug_and_Play
[۵] https://www.bleepingcomputer.com/news/security/new-deadbolt-ransomware-targets-qnap-devices-asks-50-btc-for-master-key
[۶] https://forum.qnap.com/viewtopic.php?f=45&t=164797
[۷] https://twitter.com/news_wireless/status/1486045652652105733
[۸] https://www.reddit.com/r/qnap/comments/sdz7e5/you_want_to_know_why_your_qnap_updated_last_night/huhlp5t
[۹] https://thehackernews.com/2021/04/new-qnap-nas-flaws-exploited-in-recent.html
[۱۰] https://thehackernews.com/2021/12/warning-yet-another-bitcoin-mining.html
[۱۱] https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-secure-qnap-nas
[۱۲] https://www.qnap.com/en/security-advisory/qsa-21-57
[۱۳] https://thehackernews.com/2022/01/qnap-warns-of-deadbolt-ransomware.html
ثبت ديدگاه