QNAP の警告:DeadBolt ランサムウェアによる新たな攻撃キャンペーンが始まった?

QNAP ‘thoroughly investigating’ new DeadBolt ransomware attacks

2022/06/17 BleepingComputer — 金曜日に NAS ベンダーである QNAP は、DeadBolt ランサムウェアによる新たな攻撃キャンペーンから、それぞれのデバイスを保護するよう、顧客に対して再警告を発した。同社は、NAS デバイスのファームウェアを最新バージョンに更新し、インターネットを介したリモートアクセスから遮断することをユーザーに促している。

今日、QNAP は、「最近になって、新たな DeadBolt ランサムウェア・キャンペーンを検出した。これまでの被害報告によると、このキャンペーンは、QTS 4.x を実行しているQNAP NAS デバイスを標的にしているようだ。当社では、このケースを徹底的に調査しており、可能な限り早急に情報を提供する予定だ」と述べている。



この警告は、同社が 2022年に入ってから発出した、3つの警告 [123] に続くものであり、いずれのケースでも、デバイスを最新の状態に保ち、インターネットに露出しないよう、ユーザーにアドバイスしている。

デバイスをアップデートするよう顧客に要請

同社は、すべてのユーザーに対して、NAS デバイス上で動作する QTS/QuTS hero OS を、直ちに最新バージョンに更新することを強く推奨している。QNAP の説明によると、侵害されたデバイスのファームウェアをアップグレードすると、ビルトインされた Malware Remover アプリにより、ログインページを乗っ取るとされる DeadBolt 身代金メモが自動的に隔離されるようになる。

また QNAP は、ファームウェアをアップグレードした後に、DeadBolt の復号化キーを入力してもランサムノートが見つからない場合は、QNAP サポートに連絡して支援を受けるようアドバイスしている。しかし、QNAP のカスタマーサービスに連絡する前に、まず、このサポートページに詳述されている手順で DeadBolt ページの復元を試してみてほしい。

QNAP デバイスは、Qlocker/eCh0raix などのランサムウェアにも狙われているため、すべての所有者は、今後の攻撃からデータを保護するために、それぞれのデバイスを最新の状態に保つ必要がある。

DeadBolt ランサムウェア

2022年1月下旬に、QNAP NAS デバイスを標的とし、数千件の被害者を出した攻撃に見られたように、DeadBolt ランサムウェアはデバイスのログインページを乗っ取り、[警告:あなたのファイルは DeadBolt によりロックされている] という内容の画面を表示させる。

DeadBolt に感染した NAS デバイスが起動されると、このランサムウェアは AES128 を用いてファイルを暗号化し、ファイル名に .deadbolt という拡張子を付加する。また、/home/httpd/index.html ファイルを置き換え、暗号化されたデバイスに被害者がアクセスする際に、身代金のメモを見せるようにする。被害者が 0.03 Bitcoin の身代金を支払うと、脅威者は OP_RETURN 出力の下に復号化キーを含む Bitcoin アドレスに Bitcoin トランザクションを作成する。

DeadBolt ransom note and instructions
DeadBolt ransom note (BleepingComputer)


ランサムウェア専門家である Michael Gillespie は、DeadBolt が提供する実行ファイルを使用せずに、ファイルの復号化を行う無料の Windows 復号化ソフトを作成したとのことだ。しかし、このランサムウェアの被害に遭った QNAP の所有者は、有効な復号化キーを手に入れ、データを回復するために、身代金を支払う必要があることに変わりはない。DeadBolt ランサムウェアは、2022年2月にも ASUSTOR NAS デバイスを襲ったが、ゼロデイ脆弱性を利用したとされている。

QNAP NAS に対するランサムウェア攻撃の記事としては、2022年1月7日の「QNAP 警告:インターネットに露出する NAS がランサムウェアに狙われている」や、1月26日の「QNAP 警告:新たな DeadBolt ランサムウェアが NAS デバイスを暗号化」などがあります。また、DeadBolt に関しては、1月24日の「ASUSTOR NAS の警告:Deadbolt ランサムウェアによる攻撃が発生している」や、3月7日の「TerraMaster NAS の RCE 脆弱性が FIX:Deadbolt ランサムウェア攻撃へのパッチを適用」などがあります。また、QNAP で検索と、DeadBolt で検索 も、あわせて ご利用ください。