Hackers που χρησιμοποιούν το νέο ransomware DeadBolt, κρυπτογραφούν QNAP NAS συσκευές χρησιμοποιώντας μια ευπάθεια zero-day που εντοπίζεται στο λογισμικό της συσκευής.
Δείτε επίσης: Ransomware συμμορίες προσεγγίζουν υπαλλήλους εταιρειών για να τους βοηθήσουν στις επιθέσεις
Οι επιθέσεις ξεκίνησαν χθες, 25 Ιανουαρίου, με πολλούς χειριστές QNAP NAS συστημάτων να βρίσκουν τα αρχεία τους κρυπτογραφημένα. Στα ονόματα των αρχείων είχε προστεθεί η επέκταση .deadbolt.
Ωστόσο, σε αντίθεση με άλλα ransomware, δεν δημιουργούνται σημειώματα για λύτρα σε κάθε κρυπτογραφημένο φάκελο της συσκευής. Οι χρήστες καταλαβαίνουν την παραβίαση στη σελίδα σύνδεσης της συσκευής QNAP, όπου εμφανίζεται το εξής μήνυμα: “ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Τα αρχεία σας έχουν κλειδωθεί από το DeadBolt“.
Αυτή η προειδοποίηση ενημερώνει το θύμα ότι πρέπει να πληρώσει 0,03 bitcoin (περίπου 1.100 $) σε μια διεύθυνση Bitcoin (μοναδική για κάθε θύμα).
Οι hackers ισχυρίζονται ότι αν λάβουν τα λύτρα, θα πραγματοποιήσουν μια συναλλαγή follow-up στην ίδια διεύθυνση που θα περιλαμβάνει το κλειδί αποκρυπτογράφησης. Οι επιτιθέμενοι δίνουν ακριβείς οδηγίες για την απόκτηση του κλειδιού αποκρυπτογράφησης.
Δείτε επίσης: Λευκορωσία: Επίθεση ransomware σε σιδηρόδρομους ως διαμαρτυρία
Αυτό το κλειδί μπορεί στη συνέχεια να εισαχθεί στην οθόνη για να αποκρυπτογραφήσει τα αρχεία της συσκευής που έχουν επηρεαστεί από το DeadBolt ransomware. Προς το παρόν, δεν γνωρίζουμε αν η πληρωμή λύτρων θα οδηγήσει σίγουρα στην παροχή του κλειδιού και στην ανάκτηση των αρχείων.
Το BleepingComputer ανέφερε ότι υπάρχουν τουλάχιστον δεκαπέντε θύματα της νέας επίθεσης με το ransomware DeadBolt. Οι επιθέσεις στοχεύουν συσκευές σε όλο τον κόσμο.
Όπως συμβαίνει με όλες τις επιθέσεις ransomware εναντίον συσκευών QNAP, οι επιθέσεις DeadBolt επηρεάζουν μόνο συσκευές που είναι εκτεθειμένες στο Διαδίκτυο.
Αν οι ισχυρισμοί των χειριστών του DeadBolt ransomware σχετικά με την εκμετάλλευση zero-day ευπάθειας ισχύουν, τότε όλοι οι χρήστες QNAP NAS συστημάτων πρέπει να αποσυνδέουν τις συσκευές τους από το Διαδίκτυο και να τις προστατεύσουν με firewall.
Οι QNAP NAS συσκευές έχουν βρεθεί στο στόχαστρο και άλλων ransomware συμμοριών (Qlocker και eCh0raix). Αυτό σημαίνει ότι οι χρήστες τους θα πρέπει να είναι πάντα προσεκτικοί και να εφαρμόζουν τις πρακτικές ασφαλείας που προτείνει η QNAP, για να αποτρέψουν μελλοντικές επιθέσεις.
Δείτε επίσης: BRATA Android malware: Κλέβει δεδομένα και εκτελεί επαναφορά εργοστασιακών ρυθμίσεων
Οι επιτιθέμενοι απαιτούν 5 bitcoin για το master key
Στην κύρια οθόνη με το σημείωμα λύτρων, υπάρχει ένας σύνδεσμος με τίτλο “σημαντικό μήνυμα για την QNAP“. Αν κάνει κάποιος κλικ, θα εμφανιστεί ένα μήνυμα από τη συμμορία DeadBolt, που απευθύνεται ειδικά στη QNAP.
Σε αυτήν την οθόνη, η συμμορία ransomware προσφέρει τις πλήρεις λεπτομέρειες για την υποτιθέμενη zero-day ευπάθεια, εάν η QNAP τους πληρώσει 5 Bitcoin αξίας 184.000 $.
Οι hackers είναι, επίσης, πρόθυμοι να πουλήσουν στην QNAP το master decryption key που μπορεί να αποκρυπτογραφήσει τα αρχεία για όλα τα θύματα και να δώσει τις πληροφορίες για τη zero-day ευπάθεια. Γι’ αυτό, ωστόσο, οι hackers απαιτούν 50 bitcoin, ή περίπου 1,85 εκατομμύρια δολάρια.
Η συμμορία ransomware δηλώνει ότι δεν υπάρχει άλλος τρόπος επικοινωνίας μαζί της, εκτός από τις πληρωμές μέσω Bitcoin.
Πηγή: Bleeping Computer