Descrizione e potenziali impatti
In riferimento a quanto recentemente pubblicato da questo CSIRT – tramite l’alert AL02/220107/CSIRT-ITA – si evidenzia che ricercatori di sicurezza hanno rilevato numerose attività malevole finalizzate alla distribuzione del ransomware DeadBolt su dispositivi NAS QNAP esposti su Internet, tramite il probabile sfruttamento di una vulnerabilità di tipo zero-day.
Nel dettaglio DeadBolt, al temine della fase di cifratura del dispositivo, che prevede l’aggiunta dell’estensione “.deadbolt” ai file interessati, rilascia la propria nota di riscatto tramite una pagina di accesso al dispositivo opportunamente predisposta – in sostituzione di quella originale – nella quale viene intimato il pagamento di 0,03 bitcoin (circa 1.000 dollari) per ottenere la chiave di decifratura.
Azioni consigliate
Ove già non provveduto, si raccomanda l’applicazione delle patch di sicurezza più recenti fornite dal produttore.
Si sottolinea inoltre che gli utenti possono bypassare la schermata contenente la nota di riscatto e ottenere l’accesso alla propria pagina di amministrazione utilizzando una delle seguenti URL:
- http://<NAS_IP>:8080/cgi-bin/index.cgi
- https://<NAS_IP>/cgi-bin/index.cgi
Infine, si raccomanda di valutare l’implementazione delle azioni di mitigazione fornite dal vendor e presenti nell’alert AL02/220107/CSIRT-ITA.