DeadBolt Ransomware

Una campagna ransomware condotta da nuovi attori delle minacce che si fanno chiamare DeadBolt prende di mira i dispositivi NAS (Network-Attached Storage) prodotti da QNAP. Gli aggressori affermano di aver scoperto una vulnerabilità zero-day nei dispositivi e la stanno sfruttando per fornire una minaccia ransomware. Gli attacchi sono stati rilevati per la prima volta il 25 gennaio 2022. Gli utenti interessati hanno notato che i loro file archiviati sui dispositivi QNAP erano diventati inaccessibili e ora avevano ".deadbolt" aggiunto ai loro nomi come nuova estensione di file.

Invece di consegnare file di testo con una richiesta di riscatto ai dispositivi compromessi, i criminali informatici di DeadBolt hanno optato per un metodo diverso per fornire le loro istruzioni. Gli aggressori dirottano la pagina di accesso del dispositivo QNAP e la sostituiscono con una nuova schermata contenente il messaggio di richiesta di riscatto. Il riscatto dichiarato è fissato a 0,03 BTC (Bitcoin) per un valore di circa $ 1.100 al tasso di cambio attuale della criptovaluta. Un'altra particolarità mostrata dal gruppo DeadBolt è il modo in cui dovrebbe avvenire la comunicazione con le vittime. A differenza della maggior parte degli operatori di ransomware che si affidano a un indirizzo e-mail o a un sito Web TOR dedicato per fungere da canale di comunicazione, DeadBolt scambia informazioni esclusivamente attraverso transazioni Bitcoin effettuate all'indirizzo del portafoglio univoco fornito a ciascuna vittima. Infatti, dopo aver trasferito il riscatto all'indirizzo, anche le vittime dovrebbero aspettare che gli hacker effettuino una transazione. I suoi dettagli dovrebbero contenere la chiave di decrittazione che potrebbe sbloccare i file interessati entrando nella schermata di accesso del dispositivo compromesso.

DeadBolt fa anche diverse offerte direttamente a QNAP. Al prezzo di 5 BTC, i criminali informatici sono disposti a condividere i dettagli sulla vulnerabilità zero-day con l'azienda. Se QNAP è disposto a pagare 50 BTC (circa 1,85 milioni di dollari), gli hacker forniranno anche la chiave di decrittazione principale che, secondo loro, sarà in grado di sbloccare i file di tutti gli utenti interessati.

QNAP ha dichiarato che sta indagando sull'attacco. Per ora, la società ha fornito agli utenti modi per aggirare la schermata di accesso di DeadBolt e ripristinare l'accesso alla sua pagina di amministrazione tramite http://nas_ip:8080/cgi-bin/index.cgi e https://nas_ip/cgi-bin /index.cgi URL. Gli utenti sono fortemente incoraggiati a disconnettere i propri dispositivi da Internet e ad abilitare la protezione firewall. QNAP ha anche fornito una pagina con i passaggi su come gli utenti possono proteggere i propri dati e dispositivi NAS.