DeadBolt: El ransomware que está atacando servidores QNAP

El pasado 3 de septiembre QNAP detectó una nueva amenaza de seguridad que aprovecha la vulnerabilidad de Photo Station. Este ransomware se llama DeadBolt y cifra los NAS de QNAP vulnerables que están conectados directamente a Internet.

El equipo de respuesta a incidentes de QNAP (QNAP PSIRT) ha realizado la evaluación y ha lanzado la aplicación Photo Station parcheada. Desde QNAP y Qloudea insistimos a todos los usuarios que usen Photo Station a que la actualicen para tener la última versión disponible. 

También puedes sustituir Photo Station por QuMagie, una aplicación fantástica para gestionar eficazmente el almacenamiento de fotos en tu NAS de QNAP. Básicamente incluye las características básicas de Photo Station pero añadiendo mejoras importantes. Deberías probar.

Amenazas corregidas por QNAP en:

  • QTS 5.0.1: Photo Station 6.1.2 y posteriores
  • QTS 5.0.0/4.5.x: Photo Station 6.0.22 y posteriores
  • QTS 4.3.6: Photo Station 5.7.18 y posteriores
  • QTS 4.3.3: Photo Station 5.4.15 y posteriores
  • QTS 4.2.6: Photo Station 5.2.14 y posterior

Recomendaciones de seguridad:

QNAP recomienda encarecidamente asegurar tus servidores NAS y routers de QNAP siguiendo estas instrucciones:

  • Desactivar la función de reenvío de puertos en el router
  • Configurar myQNAPcloud en el NAS para habilitar el acceso remoto seguro y evitar la exposición a Internet
  • Actualizar el firmware del NAS a la última versión
  • Actualizar todas las aplicaciones del NAS a sus últimas versiones
  • Aplicar contraseñas seguras para todas las cuentas de usuario del NAS
  • Realizar instantáneas y copias de seguridad con regularidad para proteger sus datos
  • Hacer una copia de seguridad en nuestra nube con la aplicación HBS3 de Qnap

¿Qué más se puede hacer?

Por ahora no hay forma de desencriptar esos datos. Si tenéis copia de seguridad, lo mejor es formatear los discos de forma externa para eliminar todo, empezar de cero y restaurar la copia. También podéis abrir ticket directo con QNAP para ver si ellos pueden hacer algo más:   https://service.qnap.com/es-es

Fuente*: https://www.qnap.com/de-de/security-advisory/qsa-22-24