QNAP, DeadBolt Fidye Yazılımı 3.600 Cihaza Ulaştıktan Sonra Zorunlu Güncelleme Getirdi
QNAP, halihazırda 3.600'den fazla cihazı şifrelemiş olan DeadBolt fidye yazılımına karşı koruma sağlamak için en son güvenlik güncellemelerini içeren ürün yazılımına sahip, müşterinin Ağa Bağlı Depolama (NAS) cihazlarını zorunlu olarak güncelledi.
Salı günü, BleepingComputer, dünya çapında İnternet'e maruz kalan QNAP NAS cihazlarını şifreleyen DeadBolt adlı yeni bir fidye yazılımı operasyonu bildirdi.
Tehdit aktörü, QNAP cihazlarını hacklemek ve dosyaları dosya adlarına .deadbolt uzantısını ekleyen DeadBolt fidye yazılımını kullanarak şifrelemek için sıfır gün güvenlik açığı kullandığını iddia ediyor.
Fidye yazılımı ayrıca normal HTML giriş sayfasını, bir şifre çözme anahtarı almak ve verileri kurtarmak için yaklaşık 1.100 $ değerinde 0.03 bitcoin talep eden bir fidye notu ile değiştirecek.
DeadBolt fidye yazılımı çetesi aynı zamanda QNAP'a yönelik iddia edilen sıfırıncı gün güvenlik açığının tüm ayrıntılarını 185.000 $ değerinde 5 Bitcoin karşılığında satmaya çalışıyor.
Ayrıca, etkilenen tüm kurbanların şifresini çözebilen ve 50 bitcoin veya yaklaşık 1,85 milyon dolar için iddia edilen sıfır gün hakkında bilgi sağlayabilen QNAP ana şifre çözme anahtarını satmaya da istekliler.
QNAP'nin gasp talebini karşılaması pek olası olmasa da, DeadBolt destek forumumuzdaki çok sayıda kullanıcı , dosyalarını kurtarmak için fidye yazılımını başarıyla ödediğini bildirdi.
QNAP, NAS cihazlarındaki bellenimi zorla günceller
Ertesi gün, QNAP, müşterileri en son QTS yazılım sürümüne güncelleyerek, UPnP'yi devre dışı bırakarak ve bağlantı noktası yönlendirmeyi devre dışı bırakarak İnternet'e maruz kalan NAS cihazlarını DeadBolt'a karşı korumaları konusunda uyarmaya başladı.
O gecenin ilerleyen saatlerinde, QNAP daha sert önlemler aldı ve tüm müşterilerin NAS cihazları için bellenimi 23 Aralık 2021'de yayınlanan en son evrensel bellenim olan 5.0.0.1891 sürümüne zorunlu olarak güncelledi.
Bu güncelleme ayrıca çok sayıda güvenlik düzeltmesi içeriyordu, ancak bunların neredeyse tamamı, bu saldırıyla pek ilgisi olmayan Samba ile ilgili.
QNAP sahipleri ve BT yöneticileri, BleepingComputer'a, otomatik güncellemeler devre dışı bırakılsa bile QNAP'nin bu bellenim güncellemesini cihazlarda zorladığını söyledi.
Ancak, bazı sahipler, güncellemeden sonra cihazlara iSCSI bağlantılarının artık çalışmadığını keşfettiklerinden, bu güncelleme sorunsuz bir şekilde devam etmedi.
"Herkese haber vereyim dedim. QNAPS'larımızdan birkaçı dün gece ISCSI bağlantısını kaybetti. Bir gün kurcalayıp saçımızı çektikten sonra nihayet güncelleme yüzünden olduğunu anladık. Herkes için yapmadı. Bir QNAP sahibi Reddit'te, yönettiğimiz QNAP'lerden ancak sonunda çözümü bulduk" dedi.
""Depolama ve Anlık Görüntüler > ISCSI ve Fiber Kanal"da, Takma Adınıza (IQN) sağ tıklayın "Değiştir > Ağ Portalı"nı seçin ve ISCSI için kullandığınız adaptörü seçin."
Şifre çözme anahtarını satın alan ve şifre çözme sürecinde olan diğer kullanıcılar, bellenim güncellemesinin fidye yazılımı yürütülebilir dosyasını ve şifre çözmeyi başlatmak için kullanılan fidye ekranını da kaldırdığını buldu. Bu, cihaz güncellemeyi bitirdikten sonra şifre çözme işlemine devam etmelerini engelledi.
"Genellikle güncelleme yapmak isteyip istemediğimi soruyor, ama şimdi bana sormadı. Şifre çözme devam ederken boşta duruyordum ve sonra NAS'tan bir bip sesi duydum ve menüye baktığımda, güncellemenin tamamlanması için şimdi yeniden başlatmak isteyip istemediğimi soruyordu," üzgün bir sahip BleepingComputer'ın DeadBolt destek konusuna gönderdi.
"HAYIR'a bastım ama beni görmezden geldi ve yeniden başlatmak için tüm uygulamaları kapatmaya başladı."
QNAP'ın bir üretici yazılımı güncellemesini zorlamasıyla ilgili çok sayıda şikayete yanıt olarak, bir QNAP destek temsilcisi, kullanıcıları devam eden DeadBolt fidye yazılımı saldırılarından korumak olduğunu belirterek yanıt verdi.
"Sürgüye karşı korumayı artırmaya çalışıyoruz. Otomatik güncelleme altında önerilen güncelleme etkinleştirilirse, bir güvenlik düzeltme ekimiz olur olmaz hemen uygulanabilir.
Qlocker zamanında, biz güvenlik açığını düzelttikten sonra birçok kişiye virüs bulaştı. Aslında, tüm bu salgın, yama yayınlandıktan sonraydı. Ancak birçok kişi, bir güvenlik düzeltme ekini yayınlandığı gün veya hatta aynı hafta uygulamaz. Bu da bir fidye yazılımı kampanyasını durdurmayı çok daha zor hale getiriyor. Sürgüye karşı yamalar/güvenlik geliştirmeleri üzerinde çalışacağız ve bunların hemen uygulanmalarını umuyoruz.
Bunu yapmamız gerekip gerekmediği konusunda her iki şekilde de tartışmalar olduğunu biliyorum. Verilmesi zor bir karar. Ancak bunu sürgü ve bu saldırıyı mümkün olan en kısa sürede durdurma arzumuz nedeniyle yaptık." - QNAP destek temsilcisi.
Net olmayan şey, QNAP başlangıçta cihazların İnternet'e maruz kalmasının azaltılmasının saldırıları azaltacağını söylediğinde, en son ürün yazılımına zorunlu güncellemenin bir cihazı DeadBolt fidye yazılımından koruyacağıdır.
Bir olasılık, QTS'deki daha eski bir güvenlik açığının, QNAP cihazlarını ihlal etmek ve DeadBolt'u yüklemek için kötüye kullanılması ve bu bellenime yükseltmenin güvenlik açıklarını düzeltmesidir.
Zorunlu güncellemeler çok geç geliyor
Ne yazık ki, CronUP güvenlik araştırmacısı ve Küratörlü Intel üyesi Germán Fernández, DeadBolt'un zaten binlerce QNAP cihazını şifrelediğini keşfettiği için QNAP'ın hareketi çok geç gelmiş olabilir.
🔐 Curated Intel member, @1ZRR4H, observed QNAP ransomware events being reported via IoT search engines, including Shodan and Censys.
🔗 Shodan (1160 events): https://t.co/qpaCTuICAf
🔗 Censys (3687 events): https://t.co/uZKLQprSDE
Tip: use country tags to search by country. pic.twitter.com/2IXpCNpBvV
— Curated Intelligence (@CuratedIntel) January 27, 2022
İnternet cihazı arama motoru Shodan, 1.160 QNAP NAS cihazının DeadBolt tarafından şifrelendiğini bildiriyor. Yine de Censys, bu yazının yazıldığı sırada zaten şifrelenmiş 3.687 cihaz bularak çok daha korkunç bir tablo çiziyor.
Hem Shodan hem de Censys, bu saldırıdan en çok etkilenen ülkelerin ABD, Fransa, Tayvan, Birleşik Krallık ve İtalya olduğunu gösteriyor.
Daha da kötüsü, QNAP NAS sahipleri, şifrelenecek yeni cihazları sürekli olarak tarayan Qlocker ve eCh0raix adlı diğer fidye yazılımı operasyonları tarafından zaten hedefleniyor.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.