Che cosa sono i ransomware?
La parola ransomware, letteralmente, è traducibile con “i malware del riscatto”. Per ransomware si intendono dei malware che, una volta penetrati nel dispositivo o la rete bersaglio, criptano i file rendendoli illeggibili. Per riportare in chiaro file, quindi per renderli di nuovo leggibili, occorre conoscere le due chiavi di criptazione utilizzate, ovvero quella pubblica e quella privata. Gli attaccanti però ricattano gli utenti chiedendo pagamenti in criptovalute come Bitcoin o Monero (che sono forme di pagamento che garantiscono l’anonimato) per fornire alla vittima la chiave privata.
Da qualche anno però, il ricatto è raddoppiato, si parla di tecnica di “doppia estorsione”: prima di criptare i file, gli attaccanti procedono a rubarne una copia. Minacciano così l’utente di rendere pubblici i file rubati a meno che non venga pagato un riscatto.
La campagna ransomware DeadBolt contro i NAS QNAP
“QNAP ha scoperto che la minaccia alla sicurezza DeadBolt sfrutta una vulnerabilità presente in Photo Station per criptare i NAS QNAP direttamente connessi ad internet” spiega il vendor nel relativo avviso di sicurezza.
Gli attacchi sono iniziati Sabato scorso.
Questa volta però il vendor è stato molto celere nell’affrontare la minaccia ed ha già risolto la vulnerabilità sfruttata dagli attaccanti. La vulnerabilità è stata risolta e la patch è stata resa disponibile in 12 ore dopo l’inizio della campagna. Per questo consigliamo a tutti gli utenti QNAP di procedere immediatamente ad aggiornare Photo Station alla più recente versione.
I seguenti update di sicurezza risolvono la vulnerabilità:
- QTS 5.0.1: Photo Station 6.1.2 e successivi;
- QTS 5.0.0/4.5.x: Photo Station 6.0.22 e successivi;
- QTS 4.3.6: Photo Station 5.7.18 e successivi;
- QTS 4.3.3: Photo Station 5.4.15 e successivi;
- QTS 4.2.6: Photo Station 5.2.14 e successivi.
In alternativa, il vendor suggerisce di sostituire Photo Station con QhMagie, un tool per lo storage e la gestione delle foto sui NAS QNAP.
“Sollecitiamo vivamente gli utenti a non collegare direttamente ad Internet il proprio NAS QNAP. Raccomandiamo agli utenti di usare la funzione, fornita da QNAP, myQNAPcloud Link o di abilitare un servizio VPN“
Applicare gli aggiornamenti di sicurezza impedirà al ransomware DeadBolt di criptare i file, ma ciò non toglie che altri attori potrebbero sfruttare altre vulnerabilità oppure eseguire attacchi di brute force sulle password deboli per accedere ai dispositivi. Ecco perché eseguire l’update di sicurezza è fondamentale, ma la prima “mossa” da fare è non esporre direttamente il NAS ad Internet e, al contrario, proteggerlo dietro ad un Firewall.
In ultimo, ricordiamo che è fondamentale proteggere gli account con password solide ed eseguire regolari snapshot per prevenire la perdita di dati in caso di attacco.
Qui sono consultabili le disposizioni e tutte le informazioni rilasciate dal vendor su questa minaccia.
Il ransomware DeadBolt in breve
L’operazione ransomware DeadBolt è iniziata nel Gennaio 2022 e si è specializzata proprio nell’attacco ai dispositivi NAS. E’, per questo gruppo, pratica consueta quella di sfruttare vulnerabilità, anche 0-day, per attaccare i NAS esposti in Internet.
Una prima campagna mirata contro i dispositivi NAS QNAP era già stata condotta in Maggio, seguita poi da una seconda ondata di attacchi in Giugno. Questa è la terza campagna mirata da parte di questo gruppo. A Febbraio invece DeadBolt si era concentrato sui NAS AUSTSTOR, anche in questo caso sfruttando una vulnerabilità 0-day che gli attaccanti hanno tentato di rivendere al vendor stesso per 7.5 Bitcoin.
Quick Heal è la prima compagnia indiana con un brevetto ufficiale USA per la tecnologia anti ransomware
Quick Heal è la prima compagnia indiana ad ottenere un brevetto ufficiale dall’US Patent and Trademark Office per l’esclusiva tecnologia antiransomware.
Concepita e sviluppata dal Centro Sviluppo e Ricerca di Quick Heal, questa tecnologia utilizza sia l’Intelligenza Artificiale (AI) che il Machine Learning
(ovvero l’apprendimento automatico) per rilevare e bloccare ransomware conosciuti e sconosciuti in tempo reale.
“La nostra tecnologia anti ransomware all’avanguardia è in grado di fornire una protezione avanzata contro la crescente minaccia dei ransomware: protegge i dispositivi digitali di ogni tipo, da quelli in uso nella vita privata (pc, tablet e smartphone) fino ai server e agli endpoint in uso in ambito aziendale” spiega Sanjay Katkar, Amministratore Delegato Congiunto e Chief Technology Officer di Quick Heal Technology.
Scopri la tecnologia anti ransomware di Quick Heal!
