DeadBolt Ransomware
En ransomware-kampanj utförd av nya hotaktörer som kallar sig DeadBolt riktar sig mot NAS-enheter (Network-Attached Storage) tillverkade av QNAP. Angriparna hävdar att de har upptäckt en nolldagarssårbarhet i enheterna och utnyttjar den för att leverera ett ransomware-hot. Attackerna märktes först den 25 januari 2022. Berörda användare märkte att deras filer lagrade på QNAP-enheter hade blivit otillgängliga och nu hade ".deadbolt" lagt till sina namn som ett nytt filtillägg.
Istället för att leverera textfiler med en lösensumma till de komprometterade enheterna, valde DeadBolt cyberkriminella en annan metod för att leverera sina instruktioner. Angriparna kapar inloggningssidan för QNAP-enheten och ersätter den med en ny skärm som innehåller deras meddelande som kräver lösen. Den angivna lösensumman är satt till 0,03 BTC (Bitcoin) värd cirka 1 100 $ vid den aktuella växelkursen för kryptovalutan. En annan egenhet som visas av DeadBolt-gruppen är hur kommunikationen med offren ska ske. Till skillnad från majoriteten av ransomware-operatörer som förlitar sig på en e-postadress eller en dedikerad TOR-webbplats för att fungera som en kommunikationskanal, utbyter DeadBolt information enbart genom Bitcoin-transaktioner som görs till den unika plånboksadress som ges till varje offer. Faktum är att efter att ha överfört lösensumman till adressen, ska offren också vänta på att hackarna ska göra en transaktion. Dess detaljer är tänkta att bära dekrypteringsnyckeln som kan låsa upp de påverkade filerna genom att skrivas in på inloggningsskärmen för den komprometterade enheten.
DeadBolt gör också flera erbjudanden till QNAP direkt. För priset av 5 BTC är cyberbrottslingarna villiga att dela information om nolldagssårbarheten med företaget. Om QNAP är villig att betala 50 BTC (cirka 1,85 miljoner dollar), kommer hackarna också att tillhandahålla huvuddekrypteringsnyckeln som de hävdar kommer att kunna låsa upp filerna för alla berörda användare.
QNAP har uppgett att man utreder attacken. För närvarande har företaget tillhandahållit sätt för användare att kringgå DeadBolts inloggningsskärm och återställa åtkomst till dess adminsida via http://nas_ip:8080/cgi-bin/index.cgi och https://nas_ip/cgi-bin /index.cgi webbadresser. Användare uppmanas starkt att koppla bort sina enheter från Internet och aktivera brandväggsskydd. QNAP har också tillhandahållit en sida med steg om hur användare kan skydda sina data och NAS-enheter.
