QNAP 警告:新たな DeadBolt ランサムウェアが NAS デバイスを暗号化

QNAP warns of new DeadBolt ransomware encrypting NAS devices

2022/01/26 BleepingComputer — QNAP が、新種のランサムウェア DeadBolt による、データを狙う継続的かつ広範な攻撃にさらされている。そのため、同社は、インターネットに露出している NAS デバイスを保護するよう、顧客に再度警告している。QNAP は、「DeadBolt は、インターネットに接続されている、すべての NAS を広く標的とし、ユーザーのデータを暗号化して Bitcoin の身代金を要求している。ダッシュボードに “The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP」と表示されている場合には、その NAS はインターネットにさらされており、高いリスクが生じている」と述べている。

すべての QNAP ユーザーは、DeadBolt ランサムウェア攻撃をブロックするために、直ちに QTS を利用可能な最新バージョンに更新するよう、同社は求めている。また、以下の手順でルーターの Port Forwarding と QNAP NAS の UPnP 機能を、直ちに無効にするよう、顧客にアドバイスしている。

  • ルーターの Port Forwarding 機能を無効にする: ルーターの管理インターフェースにアクセスし、仮想サーバー/NAT/Port Forwarding の設定を確認し、NAS 管理サービスポート (デフォルトは Port 8080/433) の Port Forwarding 設定を無効にする。
  • QNAP NAS の UPnP 機能を無効にする:QTSメニューの myQNAPcloud にアクセスし、Auto Router Configuration をクリックし、Enable UPnP Port forwarding の選択を解除する。

    また、この step-by-step ガイドを使って、SSH/Telnet 接続の OFF や、システムのポート番号やデバイスのパスワードの変更、IP やアカウントのアクセス保護の ON などを設定できる。また、BleepingComputer のフォーラムには、DeadBolt ランサムウェアのサポート・トピックがあるため、攻撃に関する詳細情報や、他の QNAP ユーザーからのサポートが得られる。

新しい DeadBolt ランサムウェアの登場

DeadBolt ランサムウェア・グループは、1月25日に QNAP ユーザーへの攻撃を開始し、侵害した NAS デバイス上のファイルを暗号化し、.deadboltファイル拡張子を付加した。攻撃者は、暗号化されたデバイスに身代金メモをドロップしていないが、その代わりにログインページを乗っ取り、WARNING: Your files have been locked by DeadBolt という警告画面を表示している。

この身代金請求画面では、被害者ごとに生成された固有のビットコイン・アドレスに、0.03 Bitcoin ($1,100) を支払うよう求め、支払いが成立すると OP_RETURN フィールドのブロックチェーン・アドレスに、復号鍵が送信されると述べている。現時点では、身代金を支払った後に、脅威アクターが実際に動作する復号鍵を送るという約束を果たすかどうかは確認されていない。

これらの継続的な DeadBolt ランサムウェア攻撃は、インターネットに露出した NAS デバイスだけに影響を与える。攻撃者がゼロデイバグを使用していると主張していることから、QNAP が警告で推奨しているように、インターネットから切断することが推奨される。

また、DeadBolt ギャングは QNAP に対して、今回のゼロデイ攻撃の対価として 50 Bitcoin (約 $1.85 million) を支払えば、影響を受けた全て被害者のファイルを復号するための、マスター復号鍵を渡すとも述べている。

今日の警告は、QNAP がインターネットに接続された NAS デバイスを標的としたランサムウェア攻撃について、顧客に警告するために発したものであり、過去12ヶ月間で3回目となる。これまでにも、2021年5月に eCh0raix ランサムウェア攻撃、4月に AgeLocker ランサムウェア攻撃の警告を受けている。

また、同社は、2022年1月7日に、すべての QNAP NAS ユーザーに対して、インターネットに接続された NAS デバイスを保護するよう促し、活発なランサムウェアとブルートフォースの攻撃についても警告している。

この記事には CVE が書かれていませんが、1月16日の「QNAP NAS デバイスに対する攻撃:Qlocker ランサムウェアの新種が観測されている」では、CVE-2021-28799 の悪用だと説明されています。また、前回の Qlocker と 今回の DeadBolt の関連性も分かりませんが、 Qlocker の新種が活発に動き回っていると述べていました。それにしても QNAP に関連する問題が多いです。よろしければ QNAP で検索も ご利用ください。

%d bloggers like this: