QNAP : le ransomware DeadBolt chiffre des milliers de NAS !
Depuis quelque temps, les ransomwares s'en prennent régulièrement aux NAS QNAP ! Le ransomware DeadBolt est très actif ces derniers jours, et il a déjà chiffré les données de plus de 3 600 NAS. Faisons le point sur la situation.
Une rançon fixée à 0,03 bitcoin pour les utilisateurs
Lorsqu'un NAS QNAP est victime du ransomware DeadBolt, les fichiers sont chiffrés avec l'extension ".deadbolt" et la page web de connexion à l'appareil est remplacée par une demande de rançon. Le montant de la rançon est de 0,03 bitcoin, ce qui correspond à près de 1 000 euros.
Les hackers derrière le ransomware DeadBolt affirme qu'ils utilisent une faille de sécurité zero-day pour compromettre puis chiffrer les NAS QNAP. Du coup, ils essaient de négocier avec QNAP pour vendre les détails de cette faille de sécurité pour un montant de 5 bitcoins, soit environ 166 000 euros. Les pirates veulent même aller encore plus loin puisqu'ils ont proposé à QNAP d'acheter la clé maître pour déchiffrer l'ensemble des NAS pour un montant 50 bitcoins, soit plus de 1,6 million d'euros.
Pendant ce temps, certains utilisateurs sont parvenus à récupérer leur données en payant cette rançon.
QNAP force la mise à jour du système de ses NAS !
Dans les premiers jours qui ont suivi le début des attaques du ransomware DeadBolt, QNAP a demandé aux utilisateurs de sécuriser leur NAS exposé sur Internet. Tout d'abord en mettant à jour le système QTS du NAS, puis en désactivant l'UPnP et les éventuelles redirections de ports. De quoi fermer les vannes.
Ensuite, la situation s'est dégradée puisque le nombre de NAS compromis n'a pas cessé d'augmenter. Pour passer à la vitesse supérieure, QNAP a pris la décision de forcer la mise à jour des NAS vers la dernière version du firmware : 5.0.0.1891. Une version publiée en décembre 2021 et qui corrige différentes failles de sécurité. La majorité des failles corrigées sont liées à Samba, donc ce n'est surement pas lié à cette attaque. Étrange.
Il faut savoir que même si la fonction de mise à jour automatique était désactivée sur les NAS, QNAP est parvenu à forcer la mise à jour QTS sur les boîtiers. Le problème, c'est qu'il y a eu des effets de bord ! Certains utilisateurs qui utilisent des cibles iSCSI vers leur NAS ont eu la mauvaise surprise de voir que la connexion ne fonctionnait plus après la mise à jour (même si depuis une solution a été trouvée).
Autre effet de bord : la mise à jour s'est déclenchée sur des NAS compromis par le ransomware DeadLock. Sauf qu'après la mise à jour, le NAS a remis en place sa page de login et a supprimé l'exécutable du ransomware. Certains utilisateurs ayant payé la rançon juste avant, ils ne sont plus en mesure de saisir la clé de déchiffrement pour récupérer leur donnée ! Un comble.
On peut imaginer que si QNAP a tenté cette opération, c'est que le fabricant estime que la faille exploitée par DeadLock n'est pas une faille zero-day, mais plutôt une vulnérabilité déjà corrigée. La question reste ouverte. Dans un premier temps, le fait de ne plus exposer son NAS sur Internet devait suffire.
Il est à noter que le Qlocker semble encore tourner.
J’ai eu le souci récemment.
Un programme Qrescue qui a été mis en place pour récupérer au moins une partie des fichiers, mais il n’y a aucune garantie.
Bonjour
La faille est demontre, maintenant comment recuperer les données ?
Mon backup date de plusieurs jours qu’en est il des données non utilisable.
Avoir un Nas qnap est inquiétant, je vais supprimer tous les service en commençant par qnap cloud qui est la faille utilisée par deadbolt.
Qnap doit nous fournir une solution d’urgence.
Olivier
bonjour,
je n’arrive plus a ouvrir mes fichier comment les recuperé?