Threat Database Ransomware DeadBolt Ransomware

DeadBolt Ransomware

Uma campanha de ransomware realizada por novos agentes de ameaças que se autodenominam DeadBolt tem como alvo os dispositivos NAS (Network-Attached Storage) fabricados pela QNAP. Os invasores afirmam ter descoberto uma vulnerabilidade de dia zero nos dispositivos e estão explorando-a para entregar uma ameaça de ransomware. Os ataques foram notados pela primeira vez em 25 de janeiro de 2022. Os usuários afetados notaram que seus arquivos armazenados nos dispositivos QNAP ficaram inacessíveis e agora tinham '.deadbolt' anexado a seus nomes como uma nova extensão de arquivo.

Em vez de entregar arquivos de texto com uma nota de resgate nos dispositivos comprometidos, os cibercriminosos DeadBolt optaram por um método diferente para entregar suas instruções. Os invasores sequestram a página de login do dispositivo QNAP e a substituem por uma nova tela contendo sua mensagem exigindo resgate. O resgate declarado é de 0,03 BTC (Bitcoin) no valor de aproximadamente US$1.100 na taxa de câmbio atual da cripto-moeda. Outra peculiaridade apresentada pelo grupo DeadBolt é a forma como deve ocorrer a comunicação com as vítimas. Ao contrário da maioria dos operadores de ransomware que contam com um endereço de e-mail ou um site TOR dedicado para atuar como um canal de comunicação, o DeadBolt troca informações apenas por meio de transações com Bitcoin feitas no endereço de carteira exclusivo fornecido a cada vítima. De fato, depois de transferir o resgate para o endereço, as vítimas também devem esperar que os hackers façam uma transação. Seus detalhes devem conter a chave de descriptografia que pode desbloquear os arquivos afetados ao serem inseridos na tela de login do dispositivo comprometido.

O DeadBolt também faz várias ofertas diretamente para a QNAP. Pelo preço de 5 BTC, os cibercriminosos estão dispostos a compartilhar detalhes sobre a vulnerabilidade de dia zero com a empresa. Se a QNAP estiver disposta a pagar 50 BTC (cerca de US$1,85 milhão), os hackers também fornecerão a chave mestra de descriptografia que eles afirmam ser capaz de desbloquear os arquivos de todos os usuários afetados.

A QNAP afirmou que está investigando o ataque. Por enquanto, a empresa forneceu maneiras para os usuários ignorarem a tela de login do DeadBolt e restaurar o acesso à sua página de administração através do http://nas_ip:8080/cgi-bin/index.cgi e https://nas_ip/cgi-bin /index.cgi URLs. Os usuários são fortemente encorajados a desconectar seus dispositivos da Internet e ativar a proteção por firewall. A QNAP também forneceu uma página com etapas sobre como os usuários podem proteger seus dados e dispositivos NAS.

Tendendo

Mais visto

Carregando...