Программа-вымогатель DeadBolt

Кампания по вымогательству, проводимая новыми субъектами угроз, называющими себя DeadBolt, нацелена на устройства NAS (сетевое хранилище) производства QNAP. Злоумышленники утверждают, что обнаружили в устройствах уязвимость нулевого дня и используют ее для распространения программы-вымогателя. Впервые атаки были замечены 25 января 2022 года. Затронутые пользователи заметили, что их файлы, хранящиеся на устройствах QNAP, стали недоступны, и теперь к их именам добавлено «.deadbolt» в качестве нового расширения файла.

Вместо доставки текстовых файлов с требованием выкупа на скомпрометированные устройства киберпреступники DeadBolt выбрали другой способ доставки своих инструкций. Злоумышленники захватывают страницу входа в систему устройства QNAP и заменяют ее новым экраном, содержащим сообщение с требованием выкупа. Заявленный выкуп установлен в размере 0,03 BTC (биткойн) на сумму около 1100 долларов США по текущему обменному курсу криптовалюты. Еще одна особенность группы DeadBolt — это то, как должно происходить общение с жертвами. В отличие от большинства операторов программ-вымогателей, которые полагаются на адрес электронной почты или специальный веб-сайт TOR в качестве канала связи, DeadBolt обменивается информацией исключительно посредством биткойн-транзакций, совершаемых на уникальный адрес кошелька, предоставленный каждой жертве. Ведь после перевода выкупа на адрес жертвы также должны ждать, пока хакеры проведут транзакцию. Предполагается, что его данные содержат ключ дешифрования, который может разблокировать уязвимые файлы путем ввода на экране входа в систему взломанного устройства.

DeadBolt также делает несколько предложений напрямую QNAP. За 5 BTC злоумышленники готовы поделиться с компанией подробностями об уязвимости нулевого дня. Если QNAP готов заплатить 50 BTC (около 1,85 миллиона долларов), хакеры также предоставят главный ключ дешифрования, который, как они утверждают, сможет разблокировать файлы всех затронутых пользователей.

QNAP заявила, что расследует атаку. На данный момент компания предоставила пользователям способы обойти экран входа в систему DeadBolt и восстановить доступ к своей странице администратора через http://nas_ip:8080/cgi-bin/index.cgi и https://nas_ip/cgi-bin. URL-адреса /index.cgi. Пользователям настоятельно рекомендуется отключить свои устройства от Интернета и включить защиту брандмауэра. QNAP также предоставил страницу с инструкциями о том, как пользователи могут защитить свои данные и устройства NAS.