DeadBolt Ransomware

Kendilerine DeadBolt adını veren yeni tehdit aktörleri tarafından yürütülen bir fidye yazılımı kampanyası, QNAP tarafından üretilen NAS (Ağa Bağlı Depolama) cihazlarını hedefliyor. Saldırganlar, cihazlarda sıfır gün güvenlik açığı keşfettiklerini ve bunu bir fidye yazılımı tehdidi sağlamak için kullandıklarını iddia ediyor. Saldırılar ilk olarak 25 Ocak 2022'de fark edildi. Etkilenen kullanıcılar, QNAP cihazlarında depolanan dosyalarının erişilemez hale geldiğini ve artık adlarına yeni bir dosya uzantısı olarak '.deadbolt' eklendiğini fark ettiler.

DeadBolt siber suçluları, güvenliği ihlal edilen cihazlara bir fidye notu içeren metin dosyalarını teslim etmek yerine, talimatlarını iletmek için farklı bir yöntem seçti. Saldırganlar, QNAP cihazının giriş sayfasını ele geçirir ve yerine fidye talep eden mesajlarını içeren yeni bir ekran koyar. Belirtilen fidye, kripto para biriminin mevcut döviz kuruyla yaklaşık 1,100 dolar değerinde 0,03 BTC (Bitcoin) olarak belirlendi. DeadBolt grubunun sergilediği bir başka özellik de, kurbanlarla iletişimin gerçekleşmesi gerektiğidir. Bir iletişim kanalı olarak hareket etmek için bir e-posta adresine veya özel bir TOR web sitesine güvenen fidye yazılımı operatörlerinin çoğunun aksine, DeadBolt yalnızca her kurbana sağlanan benzersiz cüzdan adresine yapılan Bitcoin işlemleri aracılığıyla bilgi alışverişinde bulunur. Nitekim fidyeyi adrese aktardıktan sonra mağdurların da bilgisayar korsanlarının işlem yapmasını beklemesi gerekiyor. Ayrıntılarının, güvenliği ihlal edilen cihazın oturum açma ekranına girilerek etkilenen dosyaların kilidini açabilecek şifre çözme anahtarını taşıması gerekiyor.

DeadBolt ayrıca doğrudan QNAP'a çeşitli tekliflerde bulunur. 5 BTC fiyatına siber suçlular, sıfırıncı gün güvenlik açığıyla ilgili ayrıntıları şirketle paylaşmaya hazır. QNAP 50 BTC (yaklaşık 1,85 milyon dolar) ödemeye istekliyse, bilgisayar korsanları ayrıca, etkilenen tüm kullanıcıların dosyalarının kilidini açabileceğini iddia ettikleri ana şifre çözme anahtarını da sağlayacaktır.

QNAP, saldırıyı araştırdığını belirtti. Şimdilik şirket, kullanıcıların DeadBolt'un giriş ekranını atlamaları ve http://nas_ip:8080/cgi-bin/index.cgi ve https://nas_ip/cgi-bin aracılığıyla yönetici sayfasına erişimi geri yüklemeleri için yollar sağladı. /index.cgi URL'leri. Kullanıcıların, cihazlarının İnternet bağlantısını kesmeleri ve güvenlik duvarı korumasını etkinleştirmeleri şiddetle tavsiye edilir. QNAP ayrıca, kullanıcıların verilerini ve NAS cihazlarını nasıl koruyabileceklerine ilişkin adımlar içeren bir sayfa da sağlamıştır.