DeadBolt Ransomware

קמפיין תוכנות כופר שבוצע על ידי שחקני איומים חדשים המכנים עצמם DeadBolt מכוון למכשירי NAS (Network Attached Storage) המיוצרים על ידי QNAP. התוקפים טוענים שגילו פגיעות של יום אפס במכשירים ומנצלים אותה כדי לספק איום של תוכנת כופר. ההתקפות הבחינו לראשונה ב-25 בינואר 2022. משתמשים מושפעים שמו לב שהקבצים שלהם המאוחסנים במכשירי QNAP הפכו לבלתי נגישים וכעת צורף '.deadbolt' לשמותיהם בתור סיומת קובץ חדשה.

במקום להעביר קבצי טקסט עם פתק כופר למכשירים שנפגעו, פושעי הסייבר של DeadBolt בחרו בשיטה אחרת לספק את ההוראות שלהם. התוקפים חוטפים את דף הכניסה של מכשיר ה-QNAP ומחליפים אותו במסך חדש המכיל את הודעת הדורשת כופר שלהם. הכופר הנקוב נקבע על 0.03 BTC (Bitcoin) בשווי של כ-$1,100 בשער החליפין הנוכחי של המטבע הקריפטו. ייחוד נוסף שמציגה קבוצת DeadBolt הוא האופן שבו התקשורת עם הקורבנות אמורה להתקיים. בניגוד לרוב מפעילי תוכנות הכופר המסתמכים על כתובת אימייל או אתר TOR ייעודי כדי לשמש ערוץ תקשורת, DeadBolt מחליף מידע אך ורק באמצעות עסקאות ביטקוין המתבצעות לכתובת הארנק הייחודית שסופקה לכל קורבן. ואכן, לאחר העברת הכופר לכתובת, הקורבנות אמורים גם לחכות שההאקרים יבצעו עסקה. הפרטים שלו אמורים לשאת את מפתח הפענוח שעלול לפתוח את הקבצים המושפעים על ידי הזנתם למסך הכניסה של המכשיר שנפרץ.

DeadBolt גם מציע מספר הצעות ל-QNAP ישירות. במחיר של 5 BTC, פושעי הסייבר מוכנים לחלוק עם החברה פרטים על פגיעות יום האפס. אם QNAP תהיה מוכנה לשלם 50 BTC (בסביבות 1.85 מיליון דולר), ההאקרים גם יספקו את מפתח הפענוח הראשי שלטענתם יוכל לפתוח את הקבצים של כל המשתמשים המושפעים.

QNAP הצהירה כי היא חוקרת את המתקפה. לעת עתה, החברה סיפקה דרכים למשתמשים לעקוף את מסך הכניסה של DeadBolt ולשחזר את הגישה לדף הניהול שלו דרך http://nas_ip:8080/cgi-bin/index.cgi ו- https://nas_ip/cgi-bin /index.cgi כתובות אתרים. מומלץ מאוד למשתמשים לנתק את המכשירים שלהם מהאינטרנט ולאפשר הגנת חומת אש. QNAP גם סיפקה דף עם שלבים כיצד משתמשים יכולים להגן על הנתונים ומכשירי ה-NAS שלהם.