QNAP heeft vandaag een advisory gepubliceerd over de aanval met de Deadbolt-ransomware op NAS-systemen en heeft het incident als "opgelost" bestempeld. Alle details rond de aanval en oplossing zijn duidelijk geworden. Volgens de NAS-fabrikant begon de aanval op 25 januari, waarbij de ransomware allerlei bestanden op duizenden kwetsbare NAS-systemen versleutelde.

Uit onderzoek bleek dat de aanvallers een kwetsbaarheid in de QTS-firmware gebruikten waarvoor QNAP op 13 januari had gewaarschuwd. De update voor dit beveiligingslek was op 23 december vorig jaar beschikbaar gemaakt. Op 27 januari besloot QNAP om deze update als "aanbevolen versie" te bestempelen, waardoor die automatisch op NAS-systemen werd geïnstalleerd waar automatisch updaten stond ingeschakeld.

Vorig jaar juni kwam QNAP met QTS 4.5.3 waarin de optie voor de installatie van "aanbevolen versies" standaard staat ingeschakeld. Sinds heeft QNAP bij veel NAS-systemen de mogelijkheid om updates te installeren. Het komt echter zelden voor dat het bedrijf een update als aanbevolen versie bestempelt. Daarnaast kan het updateproces de werking van de NAS verstoren.

Gebruikers worden door QNAP aangeraden naar de laatste versie van QTS of QuTS Hero te upgraden mocht dat nog niet zijn gebeurd. Daarmee wordt de Deadbolt-ransomware in quarantaine geplaatst. Dit zorgt er echter ook voor dat de pagina wordt verwijderd waarmee gebruikers die losgeld hebben betaald hun bestanden kunnen ontsleutelen. QNAP roept deze gebruikers op om contact op te nemen met de helpdesk. Eerder kwam antivirusbedrijf Emsisoft met een gratis decryptietool om deze gebruikers te helpen.