DeadBolt Ransomware

नए खतरे वाले अभिनेताओं द्वारा खुद को डेडबोल्ट कहने वाला रैंसमवेयर अभियान QNAP द्वारा निर्मित NAS (नेटवर्क-अटैच्ड स्टोरेज) उपकरणों को लक्षित कर रहा है। हमलावरों का दावा है कि उन्होंने उपकरणों में शून्य-दिन की भेद्यता की खोज की है और रैंसमवेयर के खतरे को दूर करने के लिए इसका फायदा उठा रहे हैं। हमलों को पहली बार 25 जनवरी, 2022 को देखा गया था। प्रभावित उपयोगकर्ताओं ने देखा कि QNAP उपकरणों पर संग्रहीत उनकी फ़ाइलें अप्राप्य हो गई थीं और अब उनके नाम के साथ एक नए फ़ाइल एक्सटेंशन के रूप में '.deadbolt' जोड़ा गया था।

समझौता किए गए उपकरणों के लिए फिरौती नोट के साथ पाठ फ़ाइलों को वितरित करने के बजाय, डेडबोल्ट साइबर अपराधियों ने अपने निर्देश देने के लिए एक अलग विधि का विकल्प चुना। हमलावर QNAP डिवाइस के लॉगिन पेज को हाईजैक कर लेते हैं और इसे एक नई स्क्रीन से बदल देते हैं जिसमें उनका फिरौती मांगने वाला संदेश होता है। क्रिप्टोक्यूरेंसी की वर्तमान विनिमय दर पर कथित फिरौती 0.03 बीटीसी (बिटकॉइन) पर लगभग $ 1,100 मूल्य पर सेट की गई है। डेडबोल्ट समूह द्वारा प्रदर्शित एक और ख़ासियत यह है कि पीड़ितों के साथ संचार करने का तरीका क्या है। अधिकांश रैंसमवेयर ऑपरेटरों के विपरीत, जो एक संचार चैनल के रूप में कार्य करने के लिए एक ईमेल पते या एक समर्पित टीओआर वेबसाइट पर भरोसा करते हैं, डेडबोल्ट केवल प्रत्येक पीड़ित को प्रदान किए गए अद्वितीय वॉलेट पते पर किए गए बिटकॉइन लेनदेन के माध्यम से सूचनाओं का आदान-प्रदान करता है। दरअसल, फिरौती को पते पर स्थानांतरित करने के बाद, पीड़ितों को हैकर्स द्वारा लेनदेन करने के लिए भी इंतजार करना पड़ता है। इसका विवरण डिक्रिप्शन कुंजी को ले जाने वाला है जो प्रभावित फ़ाइलों को समझौता किए गए डिवाइस की लॉगिन स्क्रीन में दर्ज करके अनलॉक कर सकता है।

DeadBolt सीधे QNAP को कई ऑफर भी देता है। 5 बीटीसी की कीमत के लिए, साइबर अपराधी कंपनी के साथ शून्य-दिन की भेद्यता के बारे में विवरण साझा करने को तैयार हैं। अगर QNAP 50 बीटीसी (करीब 1.85 मिलियन डॉलर) का भुगतान करने को तैयार है, तो हैकर्स मास्टर डिक्रिप्शन कुंजी भी प्रदान करेंगे, जिसका दावा है कि वे सभी प्रभावित उपयोगकर्ताओं की फाइलों को अनलॉक करने में सक्षम होंगे।

QNAP ने कहा है कि वह हमले की जांच कर रही है। अभी के लिए, कंपनी ने उपयोगकर्ताओं को डेडबोल्ट की लॉगिन स्क्रीन को बायपास करने और http://nas_ip:8080/cgi-bin/index.cgi और https://nas_ip/cgi-bin के माध्यम से अपने व्यवस्थापक पृष्ठ तक पहुंच बहाल करने के तरीके प्रदान किए हैं। /index.cgi यूआरएल। उपयोगकर्ताओं को अपने उपकरणों को इंटरनेट से डिस्कनेक्ट करने और फ़ायरवॉल सुरक्षा को सक्षम करने के लिए दृढ़ता से प्रोत्साहित किया जाता है। QNAP ने एक पृष्ठ भी प्रदान किया है जिसमें यह बताया गया है कि उपयोगकर्ता अपने डेटा और NAS उपकरणों की सुरक्षा कैसे कर सकते हैं।