QNAP heeft naar eigen zeggen achterhaald hoe de Deadbolt-ransomware wereldwijd NAS-systemen infecteert, maar details zijn nog niet openbaar gemaakt, behalve dat de laatste firmware-update deze vectoren verhelpt. Volgens Censys zijn nog vierduizend door Deadbolt versleutelde NAS-systemen vanaf het internet toegankelijk. Op het hoogtepunt waren dat er vijfduizend.

Vorige week woensdag kwam QNAP met een waarschuwing voor de Deadbolt-ransomware en adviseerde NAS-gebruikers om hun systeem niet direct vanaf het internet toegankelijk te maken. Deadbolt versleutelt bestanden op NAS-systemen en eist zo'n duizend euro losgeld voor het ontsleutelen. De aanvallers achter de ransomware claimen dat ze van een zerodaylek gebruikmaken voor het infecteren van QNAP-systemen.

Geforceerde firmware-update

Na de waarschuwing lieten gebruikers weten dat QNAP zonder hun toestemming een firmware-update had geïnstalleerd. De communicatie vanuit QNAP hierover is nogal gebrekkig te noemen. Zo vindt die plaats via Reddit en is op z'n minst onduidelijk. In een eerste verklaring vier dagen geleden liet een QNAP-medewerker weten dat bij NAS-systemen waar het installeren van "recommended updates" was ingeschakeld, er een firmware-update automatisch was geïnstalleerd om gebruikers tegen de ransomware te beschermen.

QNAP heeft vorig jaar april een update uitgebracht die er vanaf dan voor zorgt dat "recommended firmware-updates" automatisch worden geïnstalleerd. Gebruikers wezen dan ook naar deze optie als verklaring voor de installatie van de firmware-update. Verschillende gebruikers stelden dat ze de automatische installatie van updates hadden uitgeschakeld.

In een andere verklaring lijkt QNAP toch te stellen dat het om een geforceerde update gaat. Volgens de QNAP-medewerker is erin het configuratiescherm van het NAS-systeem een melding getoond dat de installatie van aanbevolen updates binnenkort zou worden ingeschakeld om gebruikers tegen de Deadbolt-ransomware te beschermen. Veel gebruikers zouden deze boodschap echter hebben gemist.

Gebruikers zijn niet blij over deze werkwijze en spreken van een backdoor. "Ik weet zeker dat ik auto-updates had uitgeschakeld. Maar klaarblijkelijk is er een backdoor aanwezig waardoor ze updates kunnen doorvoeren", zegt een ontevreden gebruiker. Andere gebruikers melden dat de geforceerde update bij hen voor problemen zorgt.

De betreffende firmware-update verhelpt meerdere kwetsbaarheden in onder andere Samba, de opensourcesoftware die van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Of en welke van deze beveiligingslekken Deadbolt misbruik maakt is op dit moment nog onduidelijk.

Daarnaast plaatst de vorige week uitgerolde update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP laat weten dat de helpdesk deze pagina kan terugplaatsen, zodat gebruikers die het losgeld betalen en over een decryptiesleutel beschikken hun bestanden kunnen ontsleutelen.