image

Ransomware versleutelt ruim 11.000 QNAP-apparaten via zerodaylek

maandag 12 september 2022, 12:33 door Redactie, 2 reacties

De criminelen achter de DeadBolt-ransomware hebben begin deze maand ruim 11.000 NAS-apparaten van fabrikant QNAP via een zerodaylek weten te versleutelen, zo stelt securitybedrijf Censys. Sinds het begin van dit jaar zijn QNAP-systemen het doelwit van de DeadBolt-ransomware, waarbij vaak bekende kwetsbaarheden worden gebruikt. Begin september wisten de aanvallers NAS-systemen via een zerodaylek in de Photo Station-software aan te vallen.

QNAP stelt dat het een aantal uur na ontdekking van de aanvallen met een beveiligingsupdate kwam om het probleem te verhelpen. Op het forum van QNAP klaagden tal van gebruikers dat hun systeem was versleuteld. Censys houdt het aantal met DeadBolt besmette QNAP-apparaten bij. Dat waren er op 1 september zo'n 7700. Op 4 september was dit gestegen naar 19.000. De meeste infecties werden geteld in de Verenigde Staten, gevolgd door Duitsland, Italië, Taiwan en het Verenigd Koninkrijk.

Slachtoffers moeten honderden euro's betalen voor het ontsleutelen van hun data. Vorig jaar kwam QNAP met snapshots die niet door ransomware zijn te verwijderen. Gebruikers die regelmatig snapshots maken kunnen zo hun data herstellen. Klanten die niet regelmatig snapshots maken en door de recente aanval zijn getroffen worden aangeraden om contact op te nemen met de klantenservice van QNAP.

Reacties (2)
12-09-2022, 14:11 door Anoniem
Kop klopt niet. Apparaat wordt niet versleuteld maar de data van de foto software anders zouden de snapshots niet teruggezet kunnen worden!
12-09-2022, 15:36 door Anoniem
"Klanten die niet regelmatig snapshots maken en door de recente aanval zijn getroffen worden aangeraden om contact op te nemen met de klantenservice van QNAP."

Ik vraag me dan af wat QNAP kan betekenen, support van QNAP is 'best effort', wat gaan zij dan doen om die data terug te krijgen? Ze kunnen alleen advies geven voor de toekomst, zoals firmware updates installeren, app updates installeren en niet poort 8080 vanaf het internet openzetten.

Als je de data terug wil zul je bitcoin moeten overmaken aan de criminelen, andere opties zijn er niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.