Angesichts der DeadBolt-Ransomware erzwingt QNAP NAS-Updates
Die Inhalte von mehr als 3.600 QNAP-Netzwerkspeicherservern wurden von DeadBolt-Ransomware verschlüsselt. Der Anbieter kontert, indem er die Installation der neuesten Firmware-Versionen einschließlich der neuesten automatischen Sicherheitsupdates erzwingt.
Im Unternehmen wird niemand den Schrei des CISO hören. Auf jeden Fall hofft QNAP, dass seine jüngste Aktion die Verbreitung der DeadBolt-Ransomware verhindern wird, die derzeit seine Netzwerkspeicherserver plagt. Bis heute wurden mehr als 3.600 NAS des Anbieters Opfer dieser Ransomware in den Vereinigten Staaten, Frankreich, Taiwan, Großbritannien und Italien, deren Betrag sich – theoretisch – auf die Wiederherstellung eines Entschlüsselungsschlüssels und die Wiederherstellung der gestohlenen Dateien beläuft 1.100 $.
Während sich QNAP zunächst damit begnügte, Benutzer zu warnen, indem es sie aufforderte, ihre Systeme durch Aktualisieren der neuesten QTS-Firmware, Deaktivieren von UPnP und Portweiterleitung zu sichern, hat sich der Hersteller entschieden, die zweite . Es hat tatsächlich die Installation der seit dem 23. Dezember 2021 verfügbaren Firmware seines NAS erzwungen, nämlich die Version 5.0.0.1891. Es stellt sich heraus, dass diese Version viele Sicherheitspatches enthält, von denen die meisten Samba betreffen, dessen Beziehung zu DeadBolt nach wie vor schwach ist.
Das Heilmittel schlimmer als die Krankheit?
QNAP begründete seine Entscheidung: „Wir versuchen, den Schutz vor ruhenden Angriffen zu erhöhen. Wenn das empfohlene Update aktiviert ist, kann es sofort angewendet werden, sobald uns ein Sicherheitspatch vorliegt. Während der Qlocker-Ära wurden viele Menschen infiziert, nachdem wir die Schwachstelle behoben hatten. Tatsächlich geschah dieser ganze Ausbruch, nachdem der Patch veröffentlicht wurde. Aber viele Leute wenden einen Sicherheitspatch nicht am selben Tag oder in derselben Woche der Veröffentlichung an. Und das macht es viel schwieriger, eine Ransomware-Kampagne zu stoppen. Wir werden an Sicherheitskorrekturen/-verbesserungen arbeiten und hoffen, dass sie sofort angewendet werden.“
Diese neue Version wird automatisch auf das QNAP NAS heruntergeladen, auch wenn die Einstellung zum automatischen Herunterladen von Updates nicht aktiviert ist. Das macht offenbar einige Probleme: „Ein paar unserer QNAPs haben letzte Nacht die ISCSI-Verbindung verloren. Nach einem Tag des Herumbastelns und Haareausreißens fanden wir schließlich heraus, dass es am Update lag.“ hat erklärt auf Reddit einen Benutzer. Wenn das Problem nicht alle seine NAS betraf, ist die Situation jedoch peinlich. Um dieses erzwungene Update zu umgehen, hat letzterer eine Manipulation gefunden, die er durchführen kann: „Klicken Sie unter Speicher und Snapshots > ISCSI und Fibre Channel mit der rechten Maustaste auf Ihren Alias (IQN), wählen Sie Bearbeiten > Netzwerkportal und wählen Sie den Adapter aus, den Sie für ISCSI verwenden.“ . Noch ärgerlicher: Unternehmen, die Entschlüsselungsschlüssel von Cyber-Entführern gekauft und mit der Entschlüsselung ihrer gestohlenen Daten begonnen hatten, berichten, dass die Aktualisierung der Firmware ihres NAS auch die ausführbare Ransomware-Datei und den Lösegeldbildschirm zum Starten der Entschlüsselung gelöscht hat. Mit dem Schlüssel zur Unmöglichkeit, den Entschlüsselungsprozess fortzusetzen. Manchen erscheint die Heilung daher schlimmer als die Krankheit.
