Er gaat een nieuwe ransomware rond die nas-systemen van QNAP versleutelt en slachtoffers vraagt om een bitcoinbetaling voor het ontsleutelen. De ransomware maakt volgens de criminelen gebruik van een zeroday, die mogelijk tweefactorauthenticatie kan omzeilen.
QNAP waarschuwt gebruikers voor ransomware die nas-systemen raakt en roept gebruikers op onmiddellijk nas-systemen met een open verbinding dicht te zetten. Hun systemen zijn namelijk kwetsbaar voor wat de aanvallers DeadBolt-ransomware noemen. Enkele tientallen slachtoffers hebben zich al gemeld op het forum van QNAP.
Volgens BleepingComputer gaat het om een ransomwareaanval van de DeadBolt-groep, die bestanden versleutelt met een .deadbolt-extensie. Slachtoffers krijgen een melding op het scherm te zien dat bestanden versleuteld zijn door DeadBolt. De groep roept slachtoffers 0,03 bitcoin over te maken om de bestanden te ontsleutelen. Ook heeft het een oproep online gezet aan QNAP, waarin het stelt dat het de hoofdsleutel zal overhandigen voor de ransomware als het bedrijf 50 bitcoin betaalt.
De aanvallers zeggen dat ze een zeroday uitbuiten, maar details daarover ontbreken. Op Reddit wordt gesuggereerd dat de zeroday tweefactorauthenticatie omzeilt en back-ups verwijdert. QNAP roept met nadruk op dat gebruikers met nas-systemen die zonder versleuteling verbinding maken met het internet onmiddellijk hun systeem dienen te ontkoppelen. Gebruikers wordt daarnaast opgeroepen om port-forwarding uit te zetten.
Het is de tweede keer in korte tijd dat QNAP waarschuwt voor ransomwareaanvallen. Twee weken geleden waarschuwde het bedrijf dat steeds meer gebruikers getroffen werden door een andere ransomware, afkomstig uit 2019.