Nella notte tra il 2 e il 3 settembre un team di hacker ha crittografato milioni di dati dai NAS forniti dall’azienda QNAP
È con un attacco sferrato lo scorso 3 settembre che il ransomware Deadbolt è tornato ad attaccare i Nas (Network Attached Storage) gestiti dall’azienda taiwanese QNAP, tra le più grandi e diffuse multinazionali, specializzata proprio in soluzioni NAS commerciali per privati e aziende, di differenti e molteplici dimensioni. Si tratta di migliaia di unità di stoccaggio dati usate da migliaia di aziende, soprattutto PMI, che ad oggi rischiano di aver perso un’immensa mole di dati. Unica soluzione: pagare.
Cos’è Deadbolt?
Deadbolt fa parte di un nuovo gruppo di ransomware che da mesi sta mettendo in ginocchio la sicurezza (e la credibilità) dell’azienda taiwanese. Già lo scorso 25 gennaio alcuni utenti in tutto il mondo avevano riscontrato un grande attacco ai sistemi Nas notificando che tutti i loro files erano state crittografati e trasformati attraverso una nuova estensione, .deadbolt appunto.
L’ultimo attacco del 3 settembre 2022
Nella notte tra il 2 e il 3 settembre l’attacco si è ripetuto sfruttando delle debolezze nella sicurezza di Photo Station per quei Nas collegati in rete. QNAP ha già rilasciato un aggiornamento al programma ma ciò non ha impedito agli hacker di crittografare milioni di dati, documenti anche sensibili di aziende che ora hanno, secondo il team Deadbolt, solo una scelta: pagare.
Il messaggio degli hacker sul sito di QNAP
La richiesta di denaro non si è fatta attendere. Accedendo alla sezione utente di QNAP compare subito il messaggio degli hacker:
“Attenzione: i tuoi files sono stati bloccati da Deadbolt. Tutti i tuoi files sono stati criptati. Ciò include foto, documenti e spreadsheets.
Questo non è un attacco personale. Sei stato colpito a causa dell’inadeguata sicurezza offerta dal vostro fornitore di servizi (QNAP). Potete effettuare un pagamento di esattamente 0.050000 bitcoin (pari a circa 1000 euro) al seguente indirizzo (segue un codice).
Una volta effettuato il pagamento, seguirà una transazione allo stesso indirizzo che includerà la chiave di decrittazione”.
Inutile dire che, avendo a che fare con dei criminali informatici, nulla è garantito. Evidente anche l’accanimento che gli hacker stanno mostrando verso QNAP, con attacchi potenti e mirati a danneggiare non solo l’azienda ma anche la sua credibilità. Nonostante la patch rilasciata stesso sabato 3, purtroppo non ha salvato i dati di migliaia di aziende.
Leggi anche: Polizia postale: corso specialistico in sicurezza cibernetica
Una mole di dati immensa
Sono ben 320.000 le aziende che utilizzano dispositivi NAS collegati in rete a livello mondiale, di cui circa 30mila solo in Italia. Una diffusione enorme, che dà una piccola idea della portata del ransomware e del guadagno potenziale dei criminali. Il relativo basso costo della chiave di decrittazione infatti favorisce un veloce e facile pagamento da parte di quelle aziende i cui files risultano essenziali per la sua attività, giocando anche sulla presenza di documenti riservati, dati personali, contratti, materiale lavorativo e quant’altro che, senza un pagamento veloce e bilanciato alle potenziali perdite, rischierebbe di essere perso per sempre. Ed è proprio su questa paura che il team Deadbolt fa leva.
Cosa fare in questi casi?
Inutile dire che la prima opzione è quella di rivolgersi alla Polizia Postale, anche se in questi casi il livello di preparazione e di violenza dell’attacco è estremamente alto e difficile da localizzare. Altra opzione è quella di affidarsi ad un’azienda impegnata nel recupero dati, laddove sia possibile. Il Nas infatti non scompare. I dati sono sempre lì, a portata di mano ma impossibili da decrittare se non grazie ad un lungo lavoro che, inutile dire, costerà e parecchio.
In ogni caso, occorrerà bonificare la propria rete, scollegando tutte le macchine collegate e i cellulari, per evitare di una propagazione del ransomware anche su dispositivi personali o pc aziendali anche se non sono quelli gli obiettivi primari del ransomware.
