DeadBolt Ransomware

由自稱為 DeadBolt 的新威脅參與者發起的勒索軟件活動針對的是 QNAP 製造的 NAS（網絡附加存儲）設備。攻擊者聲稱在設備中發現了一個零日漏洞，並正在利用它來傳遞勒索軟件威脅。這些攻擊於 2022 年 1 月 25 日首次被發現。受影響的用戶注意到他們存儲在 QNAP 設備上的文件已無法訪問，並且現在在其名稱中附加了“.deadbolt”作為新的文件擴展名。

DeadBolt 網絡犯罪分子沒有向受感染的設備發送帶有贖金記錄的文本文件，而是選擇了一種不同的方法來傳遞他們的指令。攻擊者劫持了 QNAP 設備的登錄頁面，並將其替換為包含要求贖金信息的新屏幕。所述贖金設定為 0.03 BTC（比特幣），按加密貨幣的當前匯率計算，價值約 1,100 美元。 DeadBolt 組織展示的另一個特點是與受害者進行交流的方式。與大多數依賴電子郵件地址或專用 TOR 網站作為通信渠道的勒索軟件運營商不同，DeadBolt 僅通過向每個受害者提供的唯一錢包地址進行的比特幣交易來交換信息。事實上，在將贖金轉移到地址後，受害者也應該等待黑客進行交易。它的詳細信息應該帶有解密密鑰，可以通過輸入受感染設備的登錄屏幕來解鎖受影響的文件。

DeadBolt 還直接向 QNAP 提供了多項報價。對於 5 BTC 的價格，網絡犯罪分子願意與該公司分享有關零日漏洞的詳細信息。如果 QNAP 願意支付 50 BTC（約 185 萬美元），黑客還將提供他們聲稱能夠解鎖所有受影響用戶的文件的主解密密鑰。

QNAP 表示正在調查此次攻擊。目前，該公司已為用戶提供繞過 DeadBolt 登錄屏幕並通過http://nas_ip:8080/cgi-bin/index.cgi和https://nas_ip/cgi-bin 恢復對其管理頁面的訪問的方法/index.cgi URL。強烈建議用戶斷開其設備與 Internet 的連接並啟用防火牆保護。 QNAP 還提供了一個頁面，其中包含有關用戶如何保護其數據和 NAS 設備的步驟。