DeadBolt Ransomware
En løsepengekampanje utført av nye trusselaktører som kaller seg DeadBolt er rettet mot NAS-enhetene (Network-Attached Storage) produsert av QNAP. Angriperne hevder å ha oppdaget en null-dagers sårbarhet i enhetene og utnytter den til å levere en løsepengevaretrussel. Angrepene ble først lagt merke til 25. januar 2022. Berørte brukere la merke til at filene deres lagret på QNAP-enheter var blitt utilgjengelige og nå hadde «.deadbolt» lagt til navnene deres som en ny filtype.
I stedet for å levere tekstfiler med løsepenger til de kompromitterte enhetene, valgte DeadBolt-nettkriminelle en annen metode for å levere instruksjonene sine. Angriperne kaprer påloggingssiden til QNAP-enheten og erstatter den med en ny skjerm som inneholder deres løsepengekrevende melding. Den oppgitte løsepengen er satt til 0,03 BTC (Bitcoin) verdt omtrent $1 100 med gjeldende valutakurs for kryptovalutaen. En annen særegenhet som vises av DeadBolt-gruppen er måten kommunikasjon med ofrene skal foregå på. I motsetning til flertallet av løsepengevareoperatører som er avhengige av en e-postadresse eller et dedikert TOR-nettsted for å fungere som en kommunikasjonskanal, utveksler DeadBolt informasjon utelukkende gjennom Bitcoin-transaksjoner gjort til den unike lommebokadressen gitt til hvert offer. Faktisk, etter å ha overført løsepengene til adressen, skal ofrene også vente på at hackerne foretar en transaksjon. Detaljene er ment å ha dekrypteringsnøkkelen som kan låse opp de berørte filene ved å legges inn på påloggingsskjermen til den kompromitterte enheten.
DeadBolt gir også flere tilbud til QNAP direkte. For prisen på 5 BTC er nettkriminelle villige til å dele detaljer om nulldagers sårbarhet med selskapet. Hvis QNAP er villig til å betale 50 BTC (rundt $1,85 millioner), vil hackerne også gi hoveddekrypteringsnøkkelen som de hevder vil være i stand til å låse opp filene til alle berørte brukere.
QNAP har uttalt at de etterforsker angrepet. Foreløpig har selskapet gitt brukere måter å omgå DeadBolts påloggingsskjerm og gjenopprette tilgang til admin-siden via http://nas_ip:8080/cgi-bin/index.cgi og https://nas_ip/cgi-bin /index.cgi URL-er. Brukere oppfordres sterkt til å koble enhetene sine fra Internett og aktivere brannmurbeskyttelse. QNAP har også gitt en side med trinn for hvordan brukere kan beskytte sine data og NAS-enheter.
