DeadBolt Ransomware
Uusien DeadBoltiksi kutsuvien uhkatoimijoiden suorittama kiristysohjelmakampanja kohdistuu QNAP:n valmistamiin NAS-laitteisiin (Network-Attached Storage). Hyökkääjät väittävät löytäneensä laitteista nollapäivän haavoittuvuuden ja käyttävät sitä hyväkseen ransomware-uhan toimittamiseen. Hyökkäykset havaittiin ensimmäisen kerran 25. tammikuuta 2022. Asianomaiset käyttäjät huomasivat, että heidän QNAP-laitteille tallennettuihin tiedostoihinsa ei ollut pääsyä, ja nyt heidän nimiinsä on lisätty .deadbolt uutena tiedostopäätteenä.
Sen sijaan, että DeadBoltin kyberrikolliset toimittaisivat lunnaita sisältäviä tekstitiedostoja vaarantuneille laitteille, he valitsivat toisen tavan toimittaa ohjeensa. Hyökkääjät kaappaavat QNAP-laitteen kirjautumissivun ja korvaavat sen uudella näytöllä, joka sisältää heidän lunnaita vaativan viestin. Ilmoitettu lunnaat ovat 0,03 BTC (Bitcoin) arvoltaan noin 1 100 dollaria kryptovaluutan nykyisellä vaihtokurssilla. Toinen DeadBolt-ryhmän näyttämä erikoisuus on tapa, jolla uhrien kanssa kommunikoidaan. Toisin kuin suurin osa kiristysohjelmien operaattoreista, jotka luottavat sähköpostiosoitteeseen tai omistettuun TOR-verkkosivustoon toimiakseen viestintäkanavana, DeadBolt vaihtaa tietoja yksinomaan Bitcoin-tapahtumien kautta, jotka on tehty kullekin uhrille annettuun yksilölliseen lompakkoosoitteeseen. Kun lunnaat on siirretty osoitteeseen, uhrien oletetaankin odottavan, että hakkerit tekevät kaupan. Sen tiedoissa oletetaan sisältävän salauksen purkuavaimen, joka voi avata kyseisten tiedostojen lukituksen, kun ne syötetään vaarantuneen laitteen kirjautumisnäyttöön.
DeadBolt tekee myös useita tarjouksia suoraan QNAP:lle. 5 BTC:n hintaan kyberrikolliset ovat valmiita jakamaan tietoja nollapäivän haavoittuvuudesta yritykselle. Jos QNAP on valmis maksamaan 50 BTC:tä (noin 1,85 miljoonaa dollaria), hakkerit toimittavat myös pääsalauksenpurkuavaimen, jonka he väittävät pystyvän avaamaan kaikkien vaikutuspiirissä olevien käyttäjien tiedostot.
QNAP on ilmoittanut tutkivansa hyökkäystä. Toistaiseksi yritys on tarjonnut käyttäjille tapoja ohittaa DeadBoltin kirjautumisnäyttö ja palauttaa pääsyn järjestelmänvalvojasivulle http://nas_ip:8080/cgi-bin/ index.cgi ja https://nas_ip/cgi-bin kautta. /index.cgi URL-osoitteet. Käyttäjiä kehotetaan irrottamaan laitteensa Internetistä ja ottamaan käyttöön palomuurisuojaus. QNAP on myös toimittanut sivun, jossa on ohjeita siitä, kuinka käyttäjät voivat suojata tietojaan ja NAS-laitteitaan.
