DeadBolt Ransomware

استهدفت حملة برامج الفدية التي نفذتها جهات تهديد جديدة تطلق على نفسها اسم DeadBolt أجهزة NAS (التخزين المتصل بالشبكة) المصنعة بواسطة QNAP. يزعم المهاجمون أنهم اكتشفوا ثغرة يوم الصفر في الأجهزة ويستغلونها لتقديم تهديد فدية. لوحظت الهجمات لأول مرة في 25 يناير 2022. لاحظ المستخدمون المتأثرون أن ملفاتهم المخزنة على أجهزة QNAP أصبح يتعذر الوصول إليها وأصبح الآن ".deadbolt" ملحقًا بأسمائهم كملحق ملف جديد.

بدلاً من تسليم ملفات نصية مع مذكرة فدية للأجهزة المخترقة ، اختار مجرمو DeadBolt الإلكترونيون طريقة مختلفة لتقديم تعليماتهم. يخطف المهاجمون صفحة تسجيل الدخول لجهاز QNAP ويستبدلونها بشاشة جديدة تحتوي على رسالة طلب الفدية الخاصة بهم. تم تعيين الفدية المذكورة عند 0.03 BTC (Bitcoin) بقيمة تقارب 1100 دولار بسعر الصرف الحالي للعملة المشفرة. خصوصية أخرى عرضتها مجموعة DeadBolt هي الطريقة التي من المفترض أن يتم الاتصال بها مع الضحايا. على عكس غالبية مشغلي برامج الفدية الذين يعتمدون على عنوان بريد إلكتروني أو موقع TOR مخصص للعمل كقناة اتصال ، يتبادل DeadBolt المعلومات فقط من خلال معاملات Bitcoin التي تتم على عنوان المحفظة الفريد المقدم لكل ضحية. في الواقع ، بعد نقل الفدية إلى العنوان ، من المفترض أن ينتظر الضحايا أيضًا المتسللين لإجراء معاملة. من المفترض أن تحمل تفاصيله مفتاح فك التشفير الذي يمكن أن يفتح الملفات المتأثرة عن طريق إدخالها في شاشة تسجيل الدخول للجهاز المخترق.

كما يقدم DeadBolt عدة عروض إلى QNAP مباشرة. بالنسبة لسعر 5 BTC ، فإن مجرمي الإنترنت على استعداد لمشاركة التفاصيل حول ثغرة يوم الصفر مع الشركة. إذا كان QNAP على استعداد لدفع 50 بيتكوين (حوالي 1.85 مليون دولار) ، فسيقوم المتسللون أيضًا بتوفير مفتاح فك التشفير الرئيسي الذي يزعمون أنه سيكون قادرًا على فتح ملفات جميع المستخدمين المتأثرين.

صرحت QNAP بأنها تحقق في الهجوم. في الوقت الحالي ، قدمت الشركة طرقًا للمستخدمين لتجاوز شاشة تسجيل الدخول إلى DeadBolt واستعادة الوصول إلى صفحة المسؤول الخاصة بها عبر http: // nas_ip: 8080 / cgi-bin / index.cgi و https: // nas_ip / cgi-bin /index.cgi URLs. ننصح المستخدمين بشدة بفصل أجهزتهم عن الإنترنت وتمكين حماية جدار الحماية. قدم QNAP أيضًا صفحة تحتوي على خطوات حول كيفية حماية المستخدمين لبياناتهم وأجهزة NAS.