Tra gli innumerevoli esempi di ransomware, Deadbolt si distingue nel prendere di mira direttamente i sistemi di backup.
Il 2021 ha visto l’impennata di un nuovo ceppo di Deadbolt, diffusosi in un migliaio di dispositivi nel giro di pochi giorni.
Approfondiamone, quindi, caratteristiche e modus operandi.
- Cos’è un Ransomware
- Cos’è Deadbolt Ransomware e come agisce
- Deadbolt Ransomware: meccanismi d’attacco
- Come difendersi da Deadbolt Ransomware
- Conclusioni
Cos’è un Ransomware
Il ransomware è un malware che impiega la crittografia per rendere illeggibili o inaccessibili dati e informazioni presenti sul sistema vittima.
In altre parole, i dati sensibili di utenti ed organizzazione vengono crittografati in modo da impedire a questi ultimi di accedere a file, database o applicazioni.
Alle vittime viene quindi promesso che riotterranno i loro dati dietro pagamento di un ingente riscatto.
Tuttavia, il fatto che la vittima ceda al ricatto non garantisce al 100% che l’hacker gli restituisca quanto promesso.
Infatti, a livello tecnico, il ransomware fa uso della crittografia asimmetrica, che si serve di una coppia di chiavi per crittografare e de-crittografare un file.
L’hacker rende la chiave privata disponibile alla vittima solo dopo che il riscatto è stato pagato, sebbene, come dimostrano anche le recenti campagne ransomware, la vittima arrivi spesso a perdere anche due terzi dei propri dati, se non l’intero patrimonio.
I criminali colpiscono soprattutto realtà particolarmente critiche, come centri sanitari, governativi o finanziari, i quali non possono permettersi:
- periodi di inattività prolungati
- fuga e divulgazione di dati altamente sensibili di utenti e clienti
Per tale ragione, il ransomware si impone come una minaccia assai remunerativa, che genera un ritorno in miliardi di dollari ai criminali informatici ed infligge danni e spese significative a imprese, privati ed enti pubblici.
Cos’è Deadbolt Ransomware e come agisce
Deadbolt è un ransomware che attacca principalmente sistemi di backup, con una particolare predilezione per i NAS (Network Attached Storage) prodotti dall’azienda taiwanese QNAP (Quality Network Appliance Provider), leader mondiale nella produzione di dispositivi di archiviazione di rete.
Nello specifico, i NAS sono dispositivi hardware che consentono di collegare un’unità di archiviazione ai dispositivi di rete, come computer, server e dispositivi multimediali, includendo funzionalità come:
- l’archiviazione dei dati
- il backup automatico
- la condivisione dei file attraverso la rete locale o Internet
- l’accesso remoto ai dati
Nel solo 2022, sono state ben quattro le ondate di attacchi contro questi device – rispettivamente a gennaio, maggio, giugno e settembre – ognuna capace di sfruttarne attivamente uno specifico bug o falla di sicurezza.
Nei primissimi episodi si faceva riferimento a una vulnerabilità identificato come QNAP-21-57 di tipo RCE (Remote Code Excecution) che permette all’attaccante di eseguire codice arbitrario sul sistema vittima.
Ad esserne interessate sono QTS 4.5.3 e QuTS hero h4.5.3, nonché le versioni successive.
Altro elemento di criticità è costituito dal lasciare aperte troppe porte d’ingresso per il traffico di rete, le quali costituiscono un ottimo lasciapassare per gli hacker.
Deadbolt Ransomware: meccanismi d’attacco
Una volta distribuito, il ransomware dirotta la schermata di accesso al NAS con una nota di riscatto che richiede alle vittime di pagare per decrittare i propri file.
Ciò impedisce ai dispositivi infetti di andare oltre la schermata di login per accedere ad esempio alla pagina di amministrazione.
Tuttavia, QNAP ha notato che questo passaggio può essere facilmente bypassato, e che tutte le note pop-up sono contenute in un singolo file HTML chiamato index.html_deadlock.txt.
Deadbolt assegna anche l’estensione .deadbolt a tutti i file crittografati all’interno di un sistema. Ad esempio, un file come documento.pdf cambierà in documento.pdf.deadbolt, che diventa completamente inaccessibile.
Una volta pagato il riscatto, le vittime riceveranno un messaggio con la loro chiave di decrittazione.
Si noti che queste ultime sono uniche per ogni vittima, il che significa che non c’è modo di accedere ai dati utilizzando la chiave di qualcun altro.
Un’altra particolarità è legata ai “meta-ricatti” rivolti alla stessa software house QNAP:
- per 5 bitcoin (corrispondenti a circa 200.000 $) la cybergang promette di rivelare tutte le vulnerabilità di cui è a conoscenza nei software QNAP
- per 50 bitcoin (circa 2 milioni di dollari) promettono di decifrare ogni singolo dispositivo infetto
Come difendersi da Deadbolt Ransomware
La difesa inizia innanzitutto evitando l’esposizione dei propri dispositivi ad una rete pubblica.
Nel caso dei servizi QNAP, è la stessa azienda a fornire consigli di configurazione sicuri, inclusi la chiusura delle porte di default.
QNAP offre inoltre un servizio cloud (Myqnapcloud), che fornisce un modo sicuro per accedere alle loro soluzioni NAS, oltre che tecniche semplici per configurare
- i router per l’accesso esterno,
- la gestione dei privilegi
- l’autenticazione a più fattori
L’elemento più sicuro di questa configurazione è la rimozione dell’accesso diretto a Internet a tutti i dispositivi NAS di un cliente.
La configurazione di Myqnapcloud è un elemento essenziale per proteggere l’accesso NAS, poiché raccomanda di:
- Disabilitare il port forwarding sul router
- Impostare myqnapcloud sul NAS per consentire un accesso remoto sicuro e prevenire l’esposizione ad Internet
- Aggiornare il firmware NAS all’ultima versione
- Aggiornare tutte le applicazioni sul NAS alle loro ultime versioni
- Applicare un’autenticazione multi-fattore per tutti gli account utente NAS
- Eseguire regolarmente il backup dei dati
Un’altra cosa che aggiungerei a questo elenco, è quella di cambiare i numeri di porta predefiniti per i servizi NAS. Ciò non eliminerà del tutto il rischio, ma contribuirà a definire ulteriore livello di difesa.
Conclusioni
Il ransomware Deadbolt è l’esempio di ciò che accade quando uno spazio di archiviazione è reso disponibile direttamente su Internet tramite metodi ad alto rischio come il Port Forwarding. Si tratta senza dubbio di un servizio essenziale, ma non dovrebbe mai consentire l’accesso diretto ai dati.
Organizzazioni e individui dovrebbero sempre avere un livello di difesa tra l’archivio dei dati e coloro che desiderano accedervi, sia dalla rete interna che da remoto.
Tra i primi passi da compiere in questi senso rientrano senza dubbio:
- la limitazione dei privilegi utente
- l’adozione dell’autenticazione a due fattori
- il monitoraggio costante di eventi e log
- soluzioni di difesa antivirus e antimalware.
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.