데드볼트 랜섬웨어

DeadBolt라고 자칭하는 새로운 위협 행위자가 수행한 랜섬웨어 캠페인은 QNAP에서 제조한 NAS(Network-Attached Storage) 장치를 대상으로 합니다. 공격자는 장치에서 제로 데이 취약점을 발견했으며 이를 악용하여 랜섬웨어 위협을 제공한다고 주장합니다. 공격은 2022년 1월 25일에 처음 발견되었습니다. 영향을 받는 사용자는 QNAP 장치에 저장된 파일에 액세스할 수 없게 되었고 이제 이름에 새 파일 확장자로 '.deadbolt'가 추가되었음을 알게 되었습니다.

DeadBolt 사이버 범죄자들은 손상된 장치에 몸값 메모가 포함된 텍스트 파일을 전달하는 대신 다른 방법을 선택하여 지시를 전달했습니다. 공격자는 QNAP 장치의 로그인 페이지를 가로채고 몸값을 요구하는 메시지가 포함된 새 화면으로 대체합니다. 명시된 몸값은 현재 암호화폐 환율로 약 $1,100 상당의 0.03 BTC(Bitcoin)로 설정되어 있습니다. DeadBolt 그룹이 보여주는 또 다른 특징은 피해자와의 의사 소통 방식입니다. 이메일 주소나 전용 TOR 웹사이트에 의존하여 통신 채널 역할을 하는 대다수의 랜섬웨어 운영자와 달리 DeadBolt는 각 피해자에게 제공된 고유한 지갑 주소로 이루어진 비트코인 거래를 통해서만 정보를 교환합니다. 실제로 피해자는 몸값을 해당 주소로 전송한 후 해커가 거래를 할 때까지 기다려야 합니다. 그 세부 정보에는 감염된 장치의 로그인 화면에 입력되어 영향을 받는 파일의 잠금을 해제할 수 있는 암호 해독 키가 있어야 합니다.

DeadBolt는 또한 QNAP에 직접 여러 제안을 합니다. 5 BTC의 가격으로 사이버 범죄자들은 회사와 제로 데이 취약점에 대한 세부 정보를 기꺼이 공유합니다. QNAP가 50 BTC(약 185만 달러)를 지불할 의향이 있는 경우 해커는 영향을 받는 모든 사용자의 파일을 잠금 해제할 수 있다고 주장하는 마스터 암호 해독 키도 제공합니다.

QNAP는 공격을 조사 중이라고 밝혔습니다. 현재 이 회사는 사용자가 DeadBolt의 로그인 화면을 우회하고 http://nas_ip:8080/cgi-bin/index.cgi 및 https://nas_ip/cgi-bin을 통해 관리자 페이지에 대한 액세스를 복원할 수 있는 방법을 제공했습니다. /index.cgi URL. 사용자는 인터넷에서 장치의 연결을 끊고 방화벽 보호를 활성화할 것을 강력히 권장합니다. QNAP는 또한 사용자가 데이터와 NAS 장치를 보호할 수 있는 방법에 대한 단계가 있는 페이지를 제공했습니다.