資料來源:台灣電腦網路危機處理暨協調中心
https://www.twcert.org.tw/tw/cp-104-5692-4b9d7-1.html
一波針對 QNAP NAS(Network Attached Storage)網路儲存裝置的全新勒贖攻擊,名為 Deadbolt,目前正在全球快速蔓延;QNAP 用戶應立即提高警覺,避免裝置內的檔案遭到加密。
據資安媒體 BleepingComputer 的報導指出,Deadbolt 是在今(2022)年 1 月 25 日開始針對全球各地的 QNAP NAS 發動勒贖攻擊;用戶的 NAS 裝置如果遭到入侵,不僅所有檔案都會被加密,副檔名會變成「.deadbolt」,且用戶會在登入頁面看到一個黑底的畫面,載明該裝置中的檔案均已遭到加密。
在被竄改的登入畫面中,駭侵者說這不是針對 QNAP NAS 裝置個人發動的攻擊,而是因為廠商的資安防護不適當。
用戶如果想要解鎖遭加密的檔案,必須依駭侵者的指示,支付 0.03 枚比特幣的贖金(約合新台幣 30,500 元);不過目前無法證實支付了贖金後,駭侵者真的會提供可資解密的金鑰。
BleepingComputer 的報導中指出,目前該刊掌握的受害者至少有 15 位,並不特定分布在某一地區;而所有遭 Dealbolt 攻擊的 QNAP NAS,都是直接與 Internet 連接,可由內網外部存取的。
此外,駭侵者也在上述的登入畫面中,放了一段「致 QNAP 重要訊息」段落;訊息中說該公司顧客之所以會遭到駭侵攻擊,是因為其產品存有一個不明 0-day 漏洞;如果 QNAP 支付 5 枚比特幣(約新台幣 510 萬元),駭侵者會提供該 0-day 漏洞的相關資訊與詳細分析報告;但如果 QNAP 支付 50 枚比特幣(約新台幣 5100 萬元),即可取得能為所有受害顧客解密的主要金鑰,以及上述的 0-day 漏洞資訊。
資安專家呼籲,各種 NAS 裝置用戶,應立即更新系統至最新版本,並且避免將 NAS 裝置直接連上 Internet,以免遭到攻擊。
QNAP 也表示,經過 QNAP PSIRT 調查,為防止 DeadBolt ransomware 與其他惡意程式攻擊,QNAP 建議使用者參考資安通報立即更新 QTS。
以下為推薦的 QTS 版本:
-QTS 5.0.0.1891 build 20211221 and later
-QTS 4.5.4.1892 build 20211223 and later
-QuTS hero h5.0.0.1892 build 20211222 and later
-QuTScloud c5.0.0.1919 build 20220119 and later
QNAP PSIRT 會持續追蹤惡意程式動向,並提供使用者與資安社群相關資訊。