DeadBolt Ransomware
Një fushatë ransomware e kryer nga aktorë të rinj të kërcënimit që e quajnë veten DeadBolt po synon pajisjet NAS (Rrjeti-Atached Storage) të prodhuara nga QNAP. Sulmuesit pretendojnë se kanë zbuluar një cenueshmëri të ditës zero në pajisje dhe po e shfrytëzojnë atë për të ofruar një kërcënim ransomware. Sulmet u vunë re për herë të parë më 25 janar 2022. Përdoruesit e prekur vunë re se skedarët e tyre të ruajtur në pajisjet QNAP ishin bërë të paarritshëm dhe tani u ishte bashkangjitur emrave të tyre '.deadbolt' si një shtesë e re skedari.
Në vend që të shpërndanin skedarë teksti me një shënim shpërblesëje në pajisjet e komprometuara, kriminelët kibernetikë DeadBolt zgjodhën një metodë tjetër për të dhënë udhëzimet e tyre. Sulmuesit rrëmbejnë faqen e hyrjes së pajisjes QNAP dhe e zëvendësojnë atë me një ekran të ri që përmban mesazhin e tyre që kërkon shpërblim. Shpërblesa e deklaruar është vendosur në 0.03 BTC (Bitcoin) me vlerë rreth 1100 dollarë me kursin aktual të këmbimit të kriptomonedhës. Një tjetër veçori e shfaqur nga grupi DeadBolt është mënyra se si supozohet të zhvillohet komunikimi me viktimat. Ndryshe nga shumica e operatorëve ransomware që mbështeten në një adresë emaili ose një uebsajt të dedikuar TOR për të vepruar si një kanal komunikimi, DeadBolt shkëmben informacion vetëm përmes transaksioneve Bitcoin të kryera në adresën unike të portofolit të ofruar për çdo viktimë. Në të vërtetë, pas transferimit të shpërblimit në adresë, viktimat gjithashtu duhet të presin që hakerët të bëjnë një transaksion. Detajet e tij supozohet të mbajnë çelësin e deshifrimit që mund të zhbllokojë skedarët e prekur duke u futur në ekranin e identifikimit të pajisjes së komprometuar.
DeadBolt gjithashtu bën disa oferta për QNAP drejtpërdrejt. Për çmimin prej 5 BTC, kriminelët kibernetikë janë të gatshëm të ndajnë detaje në lidhje me cenueshmërinë e ditës zero me kompaninë. Nëse QNAP është i gatshëm të paguajë 50 BTC (rreth 1.85 milion dollarë), hakerët gjithashtu do të ofrojnë çelësin kryesor të deshifrimit që ata pretendojnë se do të jetë në gjendje të zhbllokojë skedarët e të gjithë përdoruesve të prekur.
QNAP ka deklaruar se është duke hetuar sulmin. Për momentin, kompania ka ofruar mënyra që përdoruesit të anashkalojnë ekranin e hyrjes së DeadBolt dhe të rivendosin aksesin në faqen e tij të administratorit nëpërmjet http://nas_ip:8080/cgi-bin/index.cgi dhe https://nas_ip/cgi-bin URL /index.cgi. Përdoruesit inkurajohen fuqimisht të shkëputin pajisjet e tyre nga interneti dhe të mundësojnë mbrojtjen e murit të zjarrit. QNAP gjithashtu ka ofruar një faqe me hapa se si përdoruesit mund të mbrojnë të dhënat e tyre dhe pajisjet NAS.
