DeadBolt Ransomware

Kampanja izsiljevalske programske opreme, ki jo izvajajo novi akterji groženj, ki se imenujejo DeadBolt, cilja na naprave NAS (omrežno pomnilnik), ki jih proizvaja QNAP. Napadalci trdijo, da so v napravah odkrili ranljivost ničelnega dne in jo izkoriščajo za grožnjo z izsiljevalsko programsko opremo. Napadi so bili prvič opaženi 25. januarja 2022. Prizadeti uporabniki so opazili, da so njihove datoteke, shranjene v napravah QNAP, postale nedostopne in so zdaj svojim imenom dodali ».deadbolt« kot novo pripono datoteke.

Namesto da bi ogroženim napravam dostavljali besedilne datoteke z odkupnino, so se kibernetski kriminalci DeadBolt odločili za drugačno metodo za dostavo svojih navodil. Napadalci ugrabijo prijavno stran naprave QNAP in jo nadomestijo z novim zaslonom, ki vsebuje njihovo sporočilo, ki zahteva odkupnino. Navedena odkupnina je določena na 0,03 BTC (Bitcoin) v vrednosti približno 1.100 $ po trenutnem menjalnem tečaju kriptovalute. Druga posebnost, ki jo izkazuje skupina DeadBolt, je način, kako naj bi potekala komunikacija z žrtvami. Za razliko od večine operaterjev izsiljevalske programske opreme, ki se zanašajo na e-poštni naslov ali namensko spletno mesto TOR, da deluje kot komunikacijski kanal, DeadBolt izmenjuje informacije izključno prek transakcij z bitcoini na edinstven naslov denarnice, ki je na voljo vsaki žrtvi. Po prenosu odkupnine na naslov naj bi žrtve tudi počakale, da hekerji opravijo transakcijo. Njegove podrobnosti naj bi vsebovale ključ za dešifriranje, ki bi lahko odklenil prizadete datoteke z vnosom na prijavni zaslon ogrožene naprave.

DeadBolt ponuja tudi več ponudb neposredno QNAP. Za ceno 5 BTC so kibernetski kriminalci s podjetjem pripravljeni deliti podrobnosti o ranljivosti ničelnega dne. Če je QNAP pripravljen plačati 50 BTC (okoli 1,85 milijona dolarjev), bodo hekerji zagotovili tudi glavni ključ za dešifriranje, za katerega trdijo, da bo lahko odklenil datoteke vseh prizadetih uporabnikov.

QNAP je izjavil, da preiskuje napad. Za zdaj je podjetje omogočilo uporabnikom načine, da zaobidejo prijavni zaslon DeadBolt in obnovijo dostop do njegove skrbniške strani prek http://nas_ip:8080/cgi-bin/index.cgi in https://nas_ip/cgi-bin /index.cgi URL-ji. Uporabnike močno priporočamo, da svoje naprave prekinejo z interneta in omogočijo zaščito požarnega zidu. QNAP je zagotovil tudi stran s koraki o tem, kako lahko uporabniki zaščitijo svoje podatke in naprave NAS.