DeadBolt Ransomware

[javi_frances]

Buenas tardes a todos,

Publico este tema para comentar mi reciente experiencia (hoy, 3 de septiembre de 2022) con este bicho de deadbolt... y pedir ayuda sobre todo para evitar este problema en el futuro (que es lo que más me interesa ahora mismo).

Datos del NAS afectado:

QNAP TS 228
QTS 4.3.6.2050 Build 20220526

Accedo al NAS vía web y me encuentro con la nota de secuestro en la página de login ya secuestrada (adelanto que añadiendo :8080/cgi-bin/index.cgi después de la IP conseguí acceder) a la cual, por supuesto, no hago caso (piden 0.03 BTC que ahora mismo al cambio son casi 1000€, además que no me fio un pelo y tengo varios backups, por lo que mis datos están al día y a salvo...).

Una vez dentro, empiezo a investigar archivos y demás, para mi sorpresa no hay "demasiados" archivos infectados (aprox. un 20% del total) y ejecuto el Malware Remover que al terminar me deja este mensaje en el registro: "Removed high-risk malware. Repaired official app list in App Center". Ni idea, ya que no observo cambios ni de apps ni de este bicho... (al iniciar sesión). Los archivos infectados (encriptados) han cambiado a la extensión .deadbolt y por supuesto, son inservibles. Me da la sensación que los archivos se han ido infectando en orden alfabético siguiendo la estructura de carpetas (que también, por defecto, se encuentran en orden alfabético) y hay archivos encriptados de imagen, word, excel y vídeo, también archivos grandes de vídeo (películas).

Al entrar en el monitor de recursos no veo ningún proceso que me extrañe ni que esté consumiendo muchos recursos pero, como comenté antes, si salgo (y vuelvo a entrar) al NAS, sigue apareciendo la "fantástica" nota de rescate de estos cabritos... por lo que, como también dije antes, no me fio y me preparo para un "Hard Reset". Mi intención es dejarlo de fábrica y empezar de 0, ya que tengo mis datos a salvo solo me toca echarle horas a la configuración del NAS y los distintos servicios, además de volcar de nuevo mis archivos. Algo rollo y engorroso, pero mejor eso que otra cosa...

Mi cuestión ahora es, si tenía el firmware del NAS al día, ¿Cómo me he infectado? Es mi máxima preocupación ahora porque quiero evitar toparme con esto de nuevo en el futuro...

Muchas gracias a todos por leer.

Si alguien tiene alguna idea, me encantará leerla :)

[Axusworld]

Me quedo por aquí Javi_Frances porque a mi me ha pasado lo mismo, a las 04:50 de la madrugada empezó a encriptar y lo pillé a las doce y pico de la mañana. y tal cual lo has contado tú me ha pasado a mí. La única diferencia es que a mí el Malware Remover no me ha indicado que haya encontrado alguna infección. Pero lo que sí paró fue el encriptado en cuanto reinicié el router desde la app móvil ya que a través de web no podía por el mensaje de secuestro. Yo no noto nada raro ahora y como la información que tengo es de mucho peso y no tengo copias (sólo tenia de algunas colecciones), pues me tengo que arriesgar a que siga por ahí, ya que también, cuando salgo del entorno web me sale el mensajito de letras verdes.

Y efectivamente, al igual que tú, no entiendo como me he infectado teniendo al día el firmware y activo el Malware, así que eso de que si actualizas todo te salvas es mentira.
Por más que busco no encuentro soluciones para que en el futuro no me pase de nuevo.

Y lo que está claro, es que QNAP, responsables de su brecha de seguridad, tendrían que haber asumido el pago del secuestro para conseguir la clave maestra y que la hubieran facilitado para los infectados.

[JuanFR]

Yo estoy igual, justo el jueves actualicé el firmware a la última versión, 5.0.1, el Nas  es un TS- 653B
En mi caso me ha creado una instantánea que ocupa todo el espacio libre y me ha eliminado las tres anteriores

Siguiendo las instrucciones de este enlace me he bajado el último firmware y he actualizado, pero sigue igual, el Malware Remover se queda al 92%

Al estar en modo lectura no he podido actualizar las 4 aplicaciones que me lo pedían y directamente las he eliminado, no las usaba.

[adrolmar]

El problema del ransomware realmente afecta únicamente al NAS sino a todos y cada uno de los dispositivos que estén interconectados dentro de una red. Osea que hay que afrontarlo como un problema de seguridad global.

Siempre se puede mejorar la seguridad de nuestros equipos hasta llegar, más o menos, a un modelo de "confianza 0". Si trabajáis en sectores tecnológicos o empresas concienciadas con la seguridad, ya estaréis hasta el gorro del tema: uso de contraseñas robustas cambiadas periódicamente, cierre de puertos innecesarios en routers, desintalación de aplicaciones innecesarias, comunicaciones cifradas, uso de VPN en lugar de otros servicios públicos, etc.

En cuanto al NAS, aparte de mantener actualizado el firmware (que salvo casos, yo personalmente dudo de su eficacia y no colocaría como principal ni única medida), se recomienda intentar tenerlo lo más aislado posible de Internet y en caso necesario, usar vpn en lugar de abrir puertos en el router para diferentes aplicaciones/servicios. Lo de deshabilitar el usuario "admin" del NAS.. ya hemos discutido en otros hilos que no resulta ni fácil ni práctico, y en algunos casos inasumible, porque sólo admin tiene los permisos de administrador total (pero eso es fallo únicamente achacable al fabricante). Yo mismo hasta hace poco tiempo usaba los mismos usuarios para utilizar diferentes protocolos, acceder a las carpetas, etc. Simplemente hay que estar al día de las amenazas y de cómo evitarlas, independientemente de las recomendaciones de fabricantes, que siempre van por detrás y no se preocupan de los sistemas de usuarios finales. siempre haciendo uso del sentido común y, por supuesto, teniendo una buena política de backups, especialmente en la nube.

[javi_frances]

Hola a todos,

Antes de nada, gracias por vuestro interés y respuestas.

Hace un rato he encontrado esta nota oficial de QNAP que achacaría el problema a una vulnerabilidad en PhotoStation... en mi caso podría encajar en tiempos y nuevas versiones de esta app.

https://www.qnap.com/es-es/security-news...le-version

Por otro lado, he encontrado este hilo del foro de qnap.com

https://forum.qnap.com/viewtopic.php?f=4...start=1410

En el que se cuestiona el uso de QVPN... ¿Opiniones al respecto?

Mucha suerte y ánimo a los que también os habéis visto afectados, y a los que no ojalá no caigáis.

[adrolmar]

Hace un rato he encontrado esta nota oficial de QNAP que achacaría el problema a una vulnerabilidad en PhotoStation... en mi caso podría encajar en tiempos y nuevas versiones de esta app.

https://www.qnap.com/es-es/security-news...le-version

Yo lo que veo en el enlace es que desaconsejan que nuestros NAS sean accesibles directamente desde Internet, y recomiendan usar VPN en su lugar. Lo que hemos comentado en infinidad de ocasiones, con independencia de si el fallo es del SO o no:

"...today detected the security threat DEADBOLT leveraging exploitation of Photo Station vulnerability to encrypt QNAP NAS that are directly connected to the Internet (...)

We strongly urge that their QNAP NAS should not be directly connected to the Internet. This is to enhance the security of your QNAP NAS. We recommend users to make use of the myQNAPcloud Link feature provided by QNAP, or enable the VPN service. This can effectively harden the NAS and decrease the chance of being attacked."

Sobre el tema de QVPN, obviamente no es 100% seguro en el sentido de que posiblita la entrada, no sólo a tu NAS, sino a tu red local entera. Pero es responsabilidad del administrador/dueño del sistema protegerlo debidamente, pues no vale cualquier VPN ni cualquier configuración de ésta (wireguard -claves asimétricas- preferiblemente sobre openVPN -contraseñas-). Lo que está claro es que si necesitas acceder desde Internet.. no te queda otra. Y luego pues obviamente si estableces la vpn a nivel de router mejor que en el NAS o en otro equipo de la LAN, como una raspberry. La idea es establecer la primera línea de defensa lo más cercano a WAN y tenerla funcionamiento 24x7, ya que si la configuras en un NAS o similar, estás supeditado a tener este dispositivo encendido, lógicamente.

Edito: https://www.privacyaffairs.com/vpn-routers

[JuanFR]

PhotoStation es una de las tres aplicaciones que tenía sin actualizar

Al final me la jugué y eliminé la instantánea que me había creado de 1.14TB para poder arreglar lo del modo "Leer/eliminar"

Aparentemente está todo solucionado, para renombrar todos los archivos encontré una app llamada ReNamer que es una maravilla, desde windows renombras en un periquete carpetas enteras, eso sí, como dice el compañero la cuenta de admin en este caso es imprescindible tenerla habilitada

Antes me había bajado la imagen del último firmware, una RC , lo que no me acaba de cuadrar es que ni el antivirus ni el firewall hayan encontrado nada

Un saludo

[Axusworld]

Hola de nuevo, cuando salgo del escritorio QTS vía WEB me sigue saliendo el mensaje de DEADBOLT indicando que les pague, esto hay forma de eliminarlo? el encriptado se detuvo cuando conseguí acceder al QNAP, el firmware lo tenia actualizado y también tenia desmarcado lo de internet que indica la nota de seguridad de QNAP, pase el Malware Remover, elimine los archivos y actualicé cualquier App que estuviera pendiente, pero aún así, cada vez que salgo del entorno QTS, me sigue saliendo el mensaje de secuestro. Sabéis como se elimina definitivamente?

También he accedido a mi dispositivo a través de myQNAPcloud.com y puedo ver todos los directorios y archivos, pero cuando desde ahí intento ir al escritorio también me sale el mensaje de DEADBOLT Your files have been locked.

Esto es una pesadilla, sobre todo cuando no tienes ni idea de que más hacer.

Gracias de antemano, saludos,

[javi_frances]

A propósito de que obviamente un ransomware es un problema de red...

¿Alguna idea de cómo comprobar/saber que no haya otro dispositivo de la red (PC, por ejemplo) infectado?

[anverso]

Como medida preventiva frente a Deadbolt, ¿qué sería mejor: "quitar" o "parar" PhotoStation?