Threat Database Ransomware DeadBolt Ransomware

DeadBolt Ransomware

Kampania ransomware prowadzona przez nowych cyberprzestępców nazywających siebie DeadBolt jest wymierzona w urządzenia NAS (Network-Attached Storage) produkowane przez QNAP. Osoby atakujące twierdzą, że wykryły lukę dnia zerowego w urządzeniach i wykorzystują ją do dostarczania zagrożenia ransomware. Ataki zostały po raz pierwszy zauważone 25 stycznia 2022 r. Dotknięci użytkownicy zauważyli, że ich pliki przechowywane na urządzeniach QNAP stały się niedostępne, a teraz do ich nazw dodano „.deadbolt” jako nowe rozszerzenie pliku.

Zamiast dostarczać pliki tekstowe z żądaniem okupu do zaatakowanych urządzeń, cyberprzestępcy DeadBolt wybrali inną metodę dostarczania swoich instrukcji. Osoby atakujące przechwytują stronę logowania urządzenia QNAP i zastępują ją nowym ekranem zawierającym wiadomość z żądaniem okupu. Podany okup wynosi 0,03 BTC (Bitcoin) o wartości około 1100 USD po aktualnym kursie wymiany kryptowaluty. Inną osobliwością grupy DeadBolt jest sposób, w jaki ma przebiegać komunikacja z ofiarami. W przeciwieństwie do większości operatorów ransomware, którzy wykorzystują adres e-mail lub dedykowaną witrynę TOR jako kanał komunikacji, DeadBolt wymienia informacje wyłącznie za pośrednictwem transakcji Bitcoin dokonanych na unikalny adres portfela podany każdej ofierze. Rzeczywiście, po przekazaniu okupu na adres ofiary również mają czekać, aż hakerzy dokonają transakcji. Jego szczegóły mają zawierać klucz deszyfrujący, który może odblokować pliki, których dotyczy problem, poprzez wprowadzenie na ekranie logowania zhakowanego urządzenia.

DeadBolt składa również kilka ofert bezpośrednio firmie QNAP. Za cenę 5 BTC cyberprzestępcy chętnie podzielą się z firmą szczegółami na temat luki zero-day. Jeśli QNAP jest gotów zapłacić 50 BTC (około 1,85 miliona dolarów), hakerzy dostarczą również główny klucz odszyfrowywania, który, jak twierdzą, będzie w stanie odblokować pliki wszystkich dotkniętych użytkowników.

QNAP oświadczył, że bada atak. Na razie firma zapewniła użytkownikom sposoby na ominięcie ekranu logowania DeadBolt i przywrócenie dostępu do strony administratora za pośrednictwem http://nas_ip:8080/cgi-bin/index.cgi i https://nas_ip/cgi-bin /index.cgi adresy URL. Użytkowników zdecydowanie zachęca się do odłączania swoich urządzeń od Internetu i włączania ochrony zaporą. Firma QNAP udostępniła również stronę z instrukcjami, jak użytkownicy mogą chronić swoje dane i urządzenia NAS.

Popularne

Najczęściej oglądane

Ładowanie...