DeadBolt Ransomware

Ransomwarová kampaň vedená novými aktéry hrozeb, kteří si říkají DeadBolt, se zaměřuje na zařízení NAS (Network-Attached Storage) vyráběná společností QNAP. Útočníci tvrdí, že objevili zero-day zranitelnost v zařízeních a zneužívají ji k poskytování ransomwarové hrozby. Útoky byly poprvé zaznamenány 25. ledna 2022. Dotčení uživatelé si všimli, že jejich soubory uložené na zařízeních QNAP se staly nepřístupnými a nyní je k jejich jménům připojen „.deadbolt“ jako nová přípona souboru.

Místo doručování textových souborů s výkupným na kompromitovaná zařízení se kyberzločinci DeadBolt rozhodli pro jiný způsob doručení svých pokynů. Útočníci unesou přihlašovací stránku zařízení QNAP a nahradí ji novou obrazovkou obsahující jejich zprávu požadující výkupné. Uvedené výkupné je stanoveno na 0,03 BTC (Bitcoin) v hodnotě přibližně 1 100 USD při aktuálním kurzu kryptoměny. Další zvláštností skupiny DeadBolt je způsob, jakým má probíhat komunikace s oběťmi. Na rozdíl od většiny provozovatelů ransomwaru, kteří se spoléhají na e-mailovou adresu nebo vyhrazenou webovou stránku TOR jako komunikační kanál, DeadBolt si vyměňuje informace výhradně prostřednictvím bitcoinových transakcí prováděných na jedinečnou adresu peněženky poskytnutou každé oběti. Po převodu výkupného na adresu mají oběti také čekat, až hackeři provedou transakci. Jeho detaily mají nést dešifrovací klíč, který by mohl odemknout postižené soubory zadáním do přihlašovací obrazovky napadeného zařízení.

DeadBolt také poskytuje několik nabídek přímo společnosti QNAP. Za cenu 5 BTC jsou kyberzločinci ochotni sdílet podrobnosti o zero-day zranitelnosti se společností. Pokud je QNAP ochoten zaplatit 50 BTC (kolem 1,85 milionu dolarů), hackeři také poskytnou hlavní dešifrovací klíč, o kterém tvrdí, že bude schopen odemknout soubory všech dotčených uživatelů.

QNAP uvedl, že útok vyšetřuje. Pro tuto chvíli společnost poskytla uživatelům způsoby, jak obejít přihlašovací obrazovku DeadBolt a obnovit přístup na svou stránku správce prostřednictvím http://nas_ip:8080/cgi-bin/index.cgi a https://nas_ip/cgi-bin /index.cgi URL. Uživatelům důrazně doporučujeme, aby odpojili svá zařízení od internetu a povolili ochranu firewallem. QNAP také poskytl stránku s kroky, jak mohou uživatelé chránit svá data a zařízení NAS.