-
06/07/2013
-
797
-
1.304 bài viết
QNAP cảnh báo ransomware DeadBolt nhắm mục tiêu các thiết bị NAS kết nối Internet
QNAP đã cảnh báo khách hàng bảo mật các thiết bị NAS (network-attached storage) và router trước nguy cơ tấn công từ một biến thể ransomware mới có tên là DeadBolt.
Công ty cho biết: "DeadBolt đã nhắm mục tiêu rộng rãi đến tất cả thiết bị NAS kết nối Internet mà không có bất kỳ biện pháp bảo vệ nào và mã hóa dữ liệu của người dùng để đòi tiền chuộc bằng Bitcoin. QNAP khuyến nghị tất cả người dùng QNAP NAS cập nhật ngay lập tức QTS lên phiên bản mới nhất hiện có."
Theo kết quả tìm kiếm từ công cụ Censys cho thấy ít nhất 3.687 thiết bị đã bị mã hóa bởi mã độc tống tiền DeadBolt cho đến nay, với hầu hết các thiết bị NAS ở Hoa Kỳ, Đài Loan, Pháp, Ý, Anh, Hồng Kông, Đức, Hà Lan, Ba Lan và Hàn Quốc.
Ngoài ra, QNAP cũng khuyến cáo người dùng kiểm tra xem thiết bị NAS của họ có đang ở chế độ công khai hay không, và nếu có, hãy thực hiện các bước để tắt chức năng port forwarding của router và tắt chức năng Universal Plug and Play (UPnP) của QNAP NAS.
Khuyến nghị trên được đưa ra khi Bleeping Computer tiết lộ rằng các thiết bị QNAP NAS đang bị mã hóa bởi mã độc tống tiền DeadBolt bằng cách khai thác lỗ hổng là zero-day trong phần mềm của thiết bị. Các cuộc tấn công được cho là đã bắt đầu vào ngày 25/01.
Đây là dòng mã độc tống tiền mã hóa dữ liệu với phần mở rộng ".deadbolt", yêu cầu nạn nhân phải trả khoản tiền chuộc là 0,03 bitcoin (khoảng 1.100 USD) đến một địa chỉ Bitcoin để đổi lấy khóa giải mã.
Những kẻ đứng sau DeadBolt yêu cầu QNAP trả 5 bitcoin để nhận được thông tin về lỗ hổng zero-day hoặc 50 bitcoin để nhận được khóa giải mã cho tất cả khách hàng và chi tiết về lỗ hổng.
Không có thông tin về việc QNAP thanh toán cho DeadBolt, trên Reddit họ thừa nhận rằng đã âm thầm cài đặt bản cập nhật firmware khẩn cấp để "tăng cường khả năng bảo vệ" chống lại mã độc tống tiền, đồng thời cho biết thêm rằng "Đó là một quyết định khó thực hiện. Nhưng vì DeadBolt và mong muốn ngăn chặn cuộc tấn công này càng sớm càng tốt nên chúng tôi đã làm điều này. "
QNAP cho biết bản cập nhật đã được kích hoạt như một phần của tính năng Tự động cập nhật QTS. "QNAP PSIRT đã tận dụng tính năng cập nhật QTS để ngăn chặn ransomware DeadBolt hoặc các mã độc khác tấn công", QNAP cho biết.
Công ty cũng cho biết lỗ hổng này liên quan đến một lỗ hổng ảnh hưởng đến QTS và hệ điều hành QuTS hero, nếu khai thác thành công, có thể cho phép kẻ tấn công chạy mã tùy ý trong hệ thống bị ảnh hưởng. Vấn đề đã được giải quyết trong các phiên bản sau:
Công ty cho biết: "DeadBolt đã nhắm mục tiêu rộng rãi đến tất cả thiết bị NAS kết nối Internet mà không có bất kỳ biện pháp bảo vệ nào và mã hóa dữ liệu của người dùng để đòi tiền chuộc bằng Bitcoin. QNAP khuyến nghị tất cả người dùng QNAP NAS cập nhật ngay lập tức QTS lên phiên bản mới nhất hiện có."
Theo kết quả tìm kiếm từ công cụ Censys cho thấy ít nhất 3.687 thiết bị đã bị mã hóa bởi mã độc tống tiền DeadBolt cho đến nay, với hầu hết các thiết bị NAS ở Hoa Kỳ, Đài Loan, Pháp, Ý, Anh, Hồng Kông, Đức, Hà Lan, Ba Lan và Hàn Quốc.
Ngoài ra, QNAP cũng khuyến cáo người dùng kiểm tra xem thiết bị NAS của họ có đang ở chế độ công khai hay không, và nếu có, hãy thực hiện các bước để tắt chức năng port forwarding của router và tắt chức năng Universal Plug and Play (UPnP) của QNAP NAS.
Khuyến nghị trên được đưa ra khi Bleeping Computer tiết lộ rằng các thiết bị QNAP NAS đang bị mã hóa bởi mã độc tống tiền DeadBolt bằng cách khai thác lỗ hổng là zero-day trong phần mềm của thiết bị. Các cuộc tấn công được cho là đã bắt đầu vào ngày 25/01.
Đây là dòng mã độc tống tiền mã hóa dữ liệu với phần mở rộng ".deadbolt", yêu cầu nạn nhân phải trả khoản tiền chuộc là 0,03 bitcoin (khoảng 1.100 USD) đến một địa chỉ Bitcoin để đổi lấy khóa giải mã.
Những kẻ đứng sau DeadBolt yêu cầu QNAP trả 5 bitcoin để nhận được thông tin về lỗ hổng zero-day hoặc 50 bitcoin để nhận được khóa giải mã cho tất cả khách hàng và chi tiết về lỗ hổng.
Không có thông tin về việc QNAP thanh toán cho DeadBolt, trên Reddit họ thừa nhận rằng đã âm thầm cài đặt bản cập nhật firmware khẩn cấp để "tăng cường khả năng bảo vệ" chống lại mã độc tống tiền, đồng thời cho biết thêm rằng "Đó là một quyết định khó thực hiện. Nhưng vì DeadBolt và mong muốn ngăn chặn cuộc tấn công này càng sớm càng tốt nên chúng tôi đã làm điều này. "
QNAP cho biết bản cập nhật đã được kích hoạt như một phần của tính năng Tự động cập nhật QTS. "QNAP PSIRT đã tận dụng tính năng cập nhật QTS để ngăn chặn ransomware DeadBolt hoặc các mã độc khác tấn công", QNAP cho biết.
Công ty cũng cho biết lỗ hổng này liên quan đến một lỗ hổng ảnh hưởng đến QTS và hệ điều hành QuTS hero, nếu khai thác thành công, có thể cho phép kẻ tấn công chạy mã tùy ý trong hệ thống bị ảnh hưởng. Vấn đề đã được giải quyết trong các phiên bản sau:
- QTS 5.0.0.1891 build 20211221 và mới hơn
- QTS 4.5.4.1892 build 20211223 và mới hơn
- QuTS hero h5.0.0.1892 build 20211222 và mới hơn
- QuTScloud c5.0.0.1919 build 20220119 và mới hơn
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: