Threat Database Ransomware DeadBolt Ransomware

DeadBolt Ransomware

En ransomware-kampagne udført af nye trusselsaktører, der kalder sig DeadBolt, er rettet mod NAS-enheder (Network-Attached Storage) fremstillet af QNAP. Angriberne hævder at have opdaget en nul-dages sårbarhed i enhederne og udnytter den til at levere en ransomware-trussel. Angrebene blev først bemærket den 25. januar 2022. Berørte brugere bemærkede, at deres filer gemt på QNAP-enheder var blevet utilgængelige og nu havde '.deadbolt' tilføjet deres navne som en ny filtypenavn.

I stedet for at levere tekstfiler med en løsesum til de kompromitterede enheder, valgte DeadBolt-cyberkriminelle en anden metode til at levere deres instruktioner. Angriberne kaprer login-siden på QNAP-enheden og erstatter den med en ny skærm, der indeholder deres løsesum-krævende besked. Den angivne løsesum er sat til 0,03 BTC (Bitcoin) til en værdi af cirka $1.100 ved den aktuelle valutakurs for kryptovalutaen. En anden ejendommelighed, som DeadBolt-gruppen viser, er måden kommunikationen med ofrene formodes at finde sted. I modsætning til flertallet af ransomware-operatører, der er afhængige af en e-mail-adresse eller et dedikeret TOR-websted for at fungere som en kommunikationskanal, udveksler DeadBolt information udelukkende gennem Bitcoin-transaktioner, der foretages til den unikke tegnebogsadresse, der gives til hvert offer. Faktisk, efter at have overført løsesummen til adressen, skal ofrene også vente på, at hackerne foretager en transaktion. Dets detaljer formodes at bære dekrypteringsnøglen, der kunne låse de berørte filer op ved at blive indtastet på login-skærmen på den kompromitterede enhed.

DeadBolt giver også flere tilbud til QNAP direkte. For prisen på 5 BTC er cyberkriminelle villige til at dele detaljer om nul-dages sårbarhed med virksomheden. Hvis QNAP er villig til at betale 50 BTC (omkring 1,85 millioner dollars), vil hackerne også give den master dekrypteringsnøgle, som de hævder vil være i stand til at låse filerne op for alle berørte brugere.

QNAP har oplyst, at de efterforsker angrebet. Indtil videre har virksomheden sørget for måder, hvorpå brugere kan omgå DeadBolts login-skærm og gendanne adgangen til dens admin-side via http://nas_ip:8080/cgi-bin/index.cgi og https://nas_ip/cgi-bin /index.cgi URL'er. Brugere opfordres kraftigt til at afbryde forbindelsen til deres enheder fra internettet og aktivere firewallbeskyttelse. QNAP har også leveret en side med trin til, hvordan brugere kan beskytte deres data og NAS-enheder.

Trending

Mest sete

Indlæser...