DeadBolt, differentemente dagli altri ransomware, non crea una nota di riscatto in ogni cartella criptata, ma sostituisce la pagina di login del dispositivo con uno screen dove si legge "WARNING: Your files have been locked by DeadBolt". La richiesta di riscatto ammonta a 0.03 Bitcoin, circa 1.000 euro secondo il cambio attuale: l'indirizzo del wallet Bitcoin varia da ogni vittima. Una volta pagato il riscatto le vittime ricevono una conferma della transazione contenente la chiave di decriptazione da inserire tramite il collegamento presente nella schermata di blocco.
 |
| Fonte: Bleeping Computer |
Gli attaccanti hanno anche chiesto a QNAP un riscatto di 50 Bitcoin in cambio del decryptor da fornire ai propri clienti.
Come si diffonde: qualche dettaglio tecnico
Gli attaccanti hanno fatto riferimento all'uso di una vulnerabilità 0-day di tipo di esecuzione di codice da remoto usata nel corso della campagna di attacco. Ricordiamo che questi attacchi infatti sono mirati: viene prima eseguita una scansione dei NAS QNAP connessi in Internet, quindi vengono eseguiti gli attacchi a partire dall'exploit delle vulnerabilità. DeadBolt funziona nella stessa maniera e i dati telemetrici ne danno conferma: si registrano dispositivi compromessi in varie parti del mondo senza una collocazione precisa. Balza all'occhio l'alta concentrazione in Europa. |
| Fonte: Censys |
Sul punto QNAP ha pubblicato l'advisory QSA-21-57: la società infatti afferma che questa vulnerabilità è stata patchata in Dicembre. La vulnerabilità risiede nel firmware ed è stata risolta con la versione 5.0.0.1891 del firmware.
"Il 27 Gennaio 20022, QNAP ha impostato come "Versione consigliata" le versioni già patchate del software. Se l'aggiornamento automatico per la versione consigliata è abilitato, il sistema si aggiornerà automaticamente a determinate versioni per migliorare sicurezza e protezione del NAS, mitigando i rischi di subire attacchi" si legge nella nota.
Secondo l'advisory di QNAP la falla è stata risolta nelle versioni QTS e QuTS hero:
- QTS 5.0.0.1891 build 20211221 e successiva;
- QTS 4.5.4.1892 build 20211223 e successiva;
- QuTS hero h5.0.0.1892 build 20211222 e successiva;
- QuTS hero h4.5.4.1892 build 20211223 e successiva;
- QuTScloud c5.0.0.1919 build 20220119 e successiva.
Riportiamo per dovere di cronaca il fatto che più di un cliente ha denunciato, nel forum degli utenti QNAP, di aver subito comunque la criptazione dei file nonostante avesse già effettuato gli aggiornamenti consigliati. E' quindi probabile che gli attaccanti stiano già sfruttando una nuova vulnerabilità.
Qualche dettaglio tecnico
Una volta che gli attaccanti hanno violato il dispositivi, installano l'eseguibile del ransomware con un nome file random nella cartella /mnt/HDA_ROOT/ . Stando alle analisi dell'esperto di ramsomware Michael Gillespie, il ransomware viene lanciato inizialmente con un un file di configurazione che contiene vari dati compresa la chiave di criptazione usata. Il comando iniziale è
[random_file_name] -e [config] /share
dove la cartella /share è quella usata dai dispositivi NAS QNAP per ospitare i file e le cartelle dell'utente.
L'algoritmo di criptazione utilizzato, spiega ancora Gillespie, è l'AES128. Come accennato prima, DeadBolt sostituisce il file /home/httpd/index.html con la schermata di riscatto, ma è possibile bypassarla e accedere alla pagina i amministrazione usando gli URL
- http://nas_ip:8080/cgi-bin/index.cgi
- https://nas_ip/cgi-bin/index.cgi.
Anche QNAP finisce sotto ricatto
Per la prima volta, almeno da quel che lo scrivente ha cognizione, finisce sotto ricatto anche il vendor. Già nella schermata di blocco, gli attaccanti "spiegano" alla vittima come l'attacco non sia mosso da motivi personali e che l'unico da ritenere responsabile è proprio il vendor per la scarsa sicurezza dei propri dispositivi.
Ed è proprio contro QNAP che si sono risolvti gli attaccanti. Nella schermata di riscatto c'è un link intitolato "important message for QNAP". Questo mostra una nota di riscatto nella quale gli attaccanti si offrono di fornire tutte le informazioni utili sulla vulnerabilità 0-day sfruttata se il vendor pagherà 5 Bitcoin di riscatto. Non solo: gli attaccanti si dimostrano disponibili a rivelare la master key e fornire il decryptor e le informazioni sulla 0-day alla modica cifra di 50 Bitcoin, all'incirca 1.85 milioni di dollari statunitensi.
Fonti utili
Misure di Mitigazione specifiche
1. Take Immediate Actions to Secure QNAP NAS
Qui alcune misure di mitigazione generali, che abbiamo raccolto in occasione dell'ondata di attacchi, avvenuta in Gennaio, da parte del ransomware Qlocker
Nessun commento:
Posta un commento