Tra gli innumerevoli esempi di ransomware, Deadbolt si distingue nel prendere di mira direttamente i sistemi di backup.

Il 2021 ha visto l’impennata di un nuovo ceppo di Deadbolt, diffusosi in un migliaio di dispositivi nel giro di pochi giorni.

Approfondiamone, quindi, caratteristiche e modus operandi.

deadbolt ransomware
  1. Cos’è un Ransomware
  2. Cos’è Deadbolt Ransomware e come agisce
  3. Deadbolt Ransomware: meccanismi d’attacco
  4. Come difendersi da Deadbolt Ransomware
  5. Conclusioni

Cos’è un Ransomware

Il ransomware è un malware che impiega la crittografia per rendere illeggibili o inaccessibili dati e informazioni presenti sul sistema vittima.

In altre parole, i dati sensibili di utenti ed organizzazione vengono crittografati in modo da impedire a questi ultimi di accedere a file, database o applicazioni.

Alle vittime viene quindi promesso che riotterranno i loro dati dietro pagamento di un ingente riscatto.

Tuttavia, il fatto che la vittima ceda al ricatto non garantisce al 100% che l’hacker gli restituisca quanto promesso.

Infatti, a livello tecnico, il ransomware fa uso della crittografia asimmetrica, che si serve di una coppia di chiavi per crittografare e de-crittografare un file.

L’hacker rende la chiave privata disponibile alla vittima solo dopo che il riscatto è stato pagato, sebbene, come dimostrano anche le recenti campagne ransomware, la vittima arrivi spesso a perdere anche due terzi dei propri dati, se non l’intero patrimonio.

I criminali colpiscono soprattutto realtà particolarmente critiche, come centri sanitari, governativi o finanziari, i quali non possono permettersi:

  • periodi di inattività prolungati
  • fuga e divulgazione di dati altamente sensibili di utenti e clienti

Per tale ragione, il ransomware si impone come una minaccia assai remunerativa, che genera un ritorno in miliardi di dollari ai criminali informatici ed infligge danni e spese significative a imprese, privati ed enti pubblici.

Cos’è Deadbolt Ransomware e come agisce

Deadbolt è un ransomware che attacca principalmente sistemi di backup, con una particolare predilezione per i NAS (Network Attached Storage) prodotti dall’azienda taiwanese QNAP (Quality Network Appliance Provider), leader mondiale nella produzione di dispositivi di archiviazione di rete.

Nello specifico, i NAS sono dispositivi hardware che consentono di collegare un’unità di archiviazione ai dispositivi di rete, come computer, server e dispositivi multimediali, includendo funzionalità come:

  • l’archiviazione dei dati
  • il backup automatico
  • la condivisione dei file attraverso la rete locale o Internet
  • l’accesso remoto ai dati

Nel solo 2022, sono state ben quattro le ondate di attacchi contro questi device – rispettivamente a gennaio, maggio, giugno e settembre – ognuna capace di sfruttarne attivamente uno specifico bug o falla di sicurezza.

Nei primissimi episodi si faceva riferimento a una vulnerabilità identificato come QNAP-21-57 di tipo RCE (Remote Code Excecution) che permette all’attaccante di eseguire codice arbitrario sul sistema vittima.

Ad esserne interessate sono QTS 4.5.3 e QuTS hero h4.5.3, nonché le versioni successive.

Altro elemento di criticità è costituito dal lasciare aperte troppe porte d’ingresso per il traffico di rete, le quali costituiscono un ottimo lasciapassare per gli hacker.

Deadbolt Ransomware: meccanismi d’attacco

Una volta distribuito, il ransomware dirotta la schermata di accesso al NAS con una nota di riscatto che richiede alle vittime di pagare per decrittare i propri file.

Ciò impedisce ai dispositivi infetti di andare oltre la schermata di login per accedere ad esempio alla pagina di amministrazione.

Tuttavia, QNAP ha notato che questo passaggio può essere facilmente bypassato, e che tutte le note pop-up sono contenute in un singolo file HTML chiamato index.html_deadlock.txt.

Deadbolt assegna anche l’estensione .deadbolt a tutti i file crittografati all’interno di un sistema. Ad esempio, un file come documento.pdf cambierà in documento.pdf.deadbolt, che diventa completamente inaccessibile.

Una volta pagato il riscatto, le vittime riceveranno un messaggio con la loro chiave di decrittazione.

Si noti che queste ultime sono uniche per ogni vittima, il che significa che non c’è modo di accedere ai dati utilizzando la chiave di qualcun altro.

Un’altra particolarità è legata ai “meta-ricatti” rivolti alla stessa software house QNAP:

  • per 5 bitcoin (corrispondenti a circa 200.000 $) la cybergang promette di rivelare tutte le vulnerabilità di cui è a conoscenza nei software QNAP
  • per 50 bitcoin (circa 2 milioni di dollari) promettono di decifrare ogni singolo dispositivo infetto

Come difendersi da Deadbolt Ransomware

La difesa inizia innanzitutto evitando l’esposizione dei propri dispositivi ad una rete pubblica.

Nel caso dei servizi QNAP, è la stessa azienda a fornire consigli di configurazione sicuri, inclusi la chiusura delle porte di default.

QNAP offre inoltre un servizio cloud (Myqnapcloud), che fornisce un modo sicuro per accedere alle loro soluzioni NAS, oltre che tecniche semplici per configurare

L’elemento più sicuro di questa configurazione è la rimozione dell’accesso diretto a Internet a tutti i dispositivi NAS di un cliente.

La configurazione di Myqnapcloud è un elemento essenziale per proteggere l’accesso NAS, poiché raccomanda di:

  • Disabilitare il port forwarding sul router
  • Impostare myqnapcloud sul NAS per consentire un accesso remoto sicuro e prevenire l’esposizione ad Internet
  • Aggiornare il firmware NAS all’ultima versione
  • Aggiornare tutte le applicazioni sul NAS alle loro ultime versioni
  • Applicare un’autenticazione multi-fattore per tutti gli account utente NAS
  • Eseguire regolarmente il backup dei dati

Un’altra cosa che aggiungerei a questo elenco, è quella di cambiare i numeri di porta predefiniti per i servizi NAS. Ciò non eliminerà del tutto il rischio, ma contribuirà a definire ulteriore livello di difesa.

Conclusioni

Il ransomware Deadbolt è l’esempio di ciò che accade quando uno spazio di archiviazione è reso disponibile direttamente su Internet tramite metodi ad alto rischio come il Port Forwarding. Si tratta senza dubbio di un servizio essenziale, ma non dovrebbe mai consentire l’accesso diretto ai dati.

Organizzazioni e individui dovrebbero sempre avere un livello di difesa tra l’archivio dei dati e coloro che desiderano accedervi, sia dalla rete interna che da remoto.

Tra i primi passi da compiere in questi senso rientrano senza dubbio:

  • la limitazione dei privilegi utente
  • l’adozione dell’autenticazione a due fattori
  • il monitoraggio costante di eventi e log
  • soluzioni di difesa antivirus e antimalware.