![](https://csirt.telconet.net/wp-content/uploads/2022/05/PR_banner_security_-1.jpg)
El fabricante taiwanés de dispositivos de almacenamiento conectado a la red (NAS: Network Attached Storage o Almacenamiento conectado a la red)QNAP® Systems, Inc advirtió el jueves a sus clientes sobre una nueva ola de ataques de ransomware DeadBolt. Insta a todos los usuarios de NAS a verificar y actualizar QTS a la última versión lo antes posible y evitar exponer su NAS a Internet.
DeadBolt ha estado apuntando ampliamente a todos los NAS expuestos a Internet sin ninguna protección.
![](https://csirt.telconet.net/wp-content/uploads/2022/05/qnap-DeadBolt-ransomware-1.jpg)
Las intrusiones han sido dirigidas a los dispositivos de series TS-x51 y TS-x53 que ejecutan QTS en las versiones 4.3.6 y 4.4.1, según su equipo de respuesta a incidentes de seguridad de productos.
Este desarrollo marca la tercera vez que los dispositivos QNAP son atacados por el ransomware DeadBolt desde principios de año.
![Ataques de ransomware Deadbolt Ataques de ransomware Deadbolt](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjeU3yG2JFpUtvRTzbw_jfdFRCYIK9hgqSn9g6Y2wjYw8ZE7GUB2bOsXbXeYD0jaa_KJZylwNEzQ46KqBHgqV5414hBlx80_XsGJRlqoDg4ZZ2RVGFZtHdszPZNHHeU1UF92fCW2Tzc2kN9v6TrsqkI2Th8MuPqKKlq2Go6AbVPi6VIWtpVWo8IbXOC/s728-e1000/ransomware.jpg)
Cuando un dispositivo NAS de QNAP se ve comprometido, los atacantes instalan el ejecutable del malware DeadBolt como un archivo con un nombre aleatorio en la carpeta /mnt/HDA_ROOT/. Por ejemplo, el ejecutable del ransomware DeadBolt podría estar ubicado en una ruta como esta: /mnt/HDA_ROOT/27855.
El experto en ransomware Michael Gillespie le dijo a BleepingComputer que el ransomware se inicia con un archivo de configuración, que probablemente contiene varios datos, incluida una clave utilizada para cifrar archivos.
El comando inicial para cifrar archivos es:
[random_file_name] -e [config] /share
El directorio /share es donde los dispositivos NAS de QNAP almacenan las carpetas y los archivos de los usuarios.
Los archivos están cifrados con la tecnología AES128 y tendrán la extensión .deadbolt adjunta a los nombres de los archivos. Por ejemplo, test.jpg se cifrará y cambiará de nombre a test.jpg.deadbolt .
Los ataques DeadBolt también son notables por el hecho de que, supuestamente, aprovechan fallas de día cero en el software para obtener acceso remoto y cifrar los sistemas.
Recomendaciones:
- Proceder con la actualización a la brevedad posible.
Para mayor información:
- https://thehackernews.com/2022/05/qnap-urges-users-to-update-nas-devices.html
- https://www.qnap.com/en-us/security-news/2022/take-immediate-actions-to-secure-qnap-nas-and-update-qts-to-the-latest-available-version
- https://thehackernews.com/2022/01/qnap-warns-of-deadbolt-ransomware.html
- https://www.bleepingcomputer.com/news/security/new-deadbolt-ransomware-targets-qnap-devices-asks-50-btc-for-master-key/
- https://www.bleepingcomputer.com/forums/t/767603/deadbolt-ransomware-support-topic-qnap-asustor-devices-deadbolt-extension/
- https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-secure-qnap-nas
- https://www.qnap.com/en/security-news/2022/descriptions-and-explanations-of-the-qts-quts-hero-recommended-version-feature
- https://www.qnap.com/en/release-notes/qts/5.0.0.1986/20220324