Το ransomware DEADBOLT σηκώνει ξανά το κεφάλι του, επιτίθεται σε συσκευές QNAP

Ναι, το ransomware είναι ακόμα ένα πράγμα.

Όχι, δεν εκτυλίσσονται όλες οι επιθέσεις ransomware με τον τρόπο που θα περίμενε κανείς.

Οι περισσότερες σύγχρονες επιθέσεις ransomware περιλαμβάνουν δύο ομάδες εγκληματιών: μια βασική συμμορία που δημιουργεί το κακόβουλο λογισμικό και χειρίζεται τις πληρωμές εκβιασμών και «μέλη» μιας χαλαρής φυλής «θυγατρικών» που εισβάλλουν ενεργά σε δίκτυα για να πραγματοποιήσουν τις επιθέσεις.

Μόλις μπουν μέσα, οι συνεργάτες περιπλανώνται στο δίκτυο του θύματος, παίρνοντας το ψέμα της γης για λίγο, πριν απότομα και συχνά καταστροφικά ανακατέψουν όσους περισσότερους υπολογιστές μπορούν, όσο πιο γρήγορα μπορούν, συνήθως τη χειρότερη δυνατή στιγμή της ημέρας.

Οι θυγατρικές συλλέγουν συνήθως το 70% των χρημάτων εκβιασμού για οποιεσδήποτε επιθέσεις πραγματοποιούν, ενώ οι βασικοί εγκληματίες παίρνουν το iTunes-ike 30% κάθε επίθεσης που γίνεται από κάθε θυγατρική, χωρίς ποτέ να χρειάζεται να εισβάλουν οι ίδιοι στους υπολογιστές κανενός.

Έτσι κι αλλιώς συμβαίνουν οι περισσότερες επιθέσεις κακόβουλου λογισμικού.

Αλλά οι τακτικοί αναγνώστες του Naked Security θα γνωρίζουν ότι ορισμένα θύματα, κυρίως οικιακούς χρήστες και μικρές επιχειρήσεις, καταλήγουν να παθαίνουν εκβιάστηκαν μέσω του NAS τους, ή συνδεδεμένο συνδεδεμένο χώρο αποθήκευσης συσκευές.

Αποθήκευση δικτύου Plug-and-play

Τα κουτιά NAS, όπως είναι γνωστά στην καθομιλουμένη, είναι μικροσκοπικοί, προρυθμισμένοι διακομιστές, συνήθως με Linux, που συνήθως συνδέονται απευθείας στο δρομολογητή σας και στη συνέχεια λειτουργούν ως απλοί, γρήγοροι διακομιστές αρχείων για όλους στο δίκτυο.

Δεν χρειάζεται να αγοράσετε άδειες χρήσης Windows, να ρυθμίσετε την υπηρεσία καταλόγου Active Directory, να μάθετε πώς να διαχειρίζεστε το Linux, να εγκαταστήσετε το Samba ή να ασχοληθείτε με το CIFS και άλλα arcana συστήματος αρχείων δικτύου.

Τα κουτιά NAS είναι "plug-and-play" συνδεδεμένος χώρος αποθήκευσης δικτύου και δημοφιλής ακριβώς λόγω του πόσο εύκολα μπορείτε να τα εκτελείτε στο LAN σας.

Όπως μπορείτε να φανταστείτε, ωστόσο, στη σημερινή εποχή που επικεντρώνεται στο cloud, πολλοί χρήστες NAS καταλήγουν να ανοίγουν τους διακομιστές τους στο Διαδίκτυο – συχνά κατά λάθος, αν και μερικές φορές επίτηδες – με δυνητικά επικίνδυνα αποτελέσματα.

Συγκεκριμένα, εάν μια συσκευή NAS είναι προσβάσιμη από το δημόσιο Διαδίκτυο και το ενσωματωμένο λογισμικό ή το υλικολογισμικό στη συσκευή NAS περιέχει μια εκμεταλλεύσιμη ευπάθεια, μπορεί να αντιμετωπίσετε πραγματικό πρόβλημα.

Οι απατεώνες δεν μπορούσαν να τρέξουν με τα δεδομένα του τροπαίου σας, χωρίς να χρειαστεί να αγγίξουν κανέναν από τους φορητούς υπολογιστές ή τα κινητά τηλέφωνα στο δίκτυό σας, αλλά και να τροποποιήσουν όλα τα δεδομένα στο κουτί NAS σας…

…συμπεριλαμβανομένου απευθείας επανεγγραφή όλων των αρχικών αρχείων σας με κρυπτογραφημένα ισοδύναμα, με τους απατεώνες και μόνο να γνωρίζουν το κλειδί που δεν κρυπτογραφεί.

Με απλά λόγια, οι εισβολείς ransomware με άμεση πρόσβαση στο πλαίσιο NAS στο LAN σας θα μπορούσαν να εκτροχιάσουν σχεδόν όλη την ψηφιακή σας ζωή και, στη συνέχεια, να σας εκβιάσουν απευθείας, απλώς αποκτώντας πρόσβαση στη συσκευή NAS σας και αγγίζοντας τίποτα άλλο στο δίκτυο.

Το διαβόητο ransomware DEADBOLT

Έτσι ακριβώς το διαβόητο DEADBOLT απατεώνες ransomware λειτουργεί.

Δεν μπαίνουν στον κόπο να επιτίθενται σε υπολογιστές με Windows, φορητούς υπολογιστές Mac, κινητά τηλέφωνα ή tablet. απλώς πηγαίνουν κατευθείαν στην κύρια αποθήκη δεδομένων σας.

(Πιθανότατα απενεργοποιείτε, «κοιμάτε» ή κλειδώνετε τις περισσότερες συσκευές σας τη νύχτα, αλλά το κουτί NAS σας πιθανότατα λειτουργεί αθόρυβα 24 ώρες την ημέρα, κάθε μέρα, ακριβώς όπως ο δρομολογητής σας.)

Στοχεύοντας τρωτά σημεία στα προϊόντα του γνωστού προμηθευτή NAS QNAP, η συμμορία DEADBOLT στοχεύει να κλειδώσει όλους τους άλλους στο δίκτυό σας από την ψηφιακή τους ζωή και στη συνέχεια να σας αποσπάσει για αρκετές χιλιάδες δολάρια για να «ανακτήσετε» τα δεδομένα σας.

Μετά από μια επίθεση, όταν προσπαθείτε να κάνετε λήψη ενός αρχείου από το πλαίσιο NAS ή να το ρυθμίσετε μέσω της διεπαφής ιστού του, μπορεί να δείτε κάτι σαν αυτό:

Σε μια τυπική επίθεση DEADBOLT, δεν υπάρχει διαπραγμάτευση μέσω email ή IM – οι απατεώνες είναι αμβλύ και άμεσοι, όπως βλέπετε παραπάνω.

Στην πραγματικότητα, γενικά δεν μπορείς να αλληλεπιδράσεις καθόλου μαζί τους χρησιμοποιώντας λέξεις.

Εάν δεν έχετε άλλο τρόπο για να ανακτήσετε τα κωδικοποιημένα αρχεία σας, όπως ένα αντίγραφο ασφαλείας που δεν είναι αποθηκευμένο στο διαδίκτυο και αναγκάζεστε να πληρώσετε για να λάβετε πίσω τα αρχεία σας, οι απατεώνες περιμένουν από εσάς απλώς να τους στείλετε τα χρήματα στο μια συναλλαγή κρυπτονομισμάτων.

Η άφιξη των bitcoin σας στο πορτοφόλι τους χρησιμεύει ως το «μήνυμά» σας προς αυτούς.

Σε αντάλλαγμα, σας «πληρώνουν» το πριγκιπικό ποσό του τίποτα, με αυτή την «επιστροφή χρημάτων» να είναι το σύνολο της επικοινωνίας τους μαζί σας.

Αυτή η «επιστροφή χρημάτων» είναι μια πληρωμή αξίας $0, η οποία υποβάλλεται απλώς ως ένας τρόπος να συμπεριληφθεί ένα σχόλιο συναλλαγής bitcoin.

Αυτό το σχόλιο κωδικοποιείται ως 32 δεκαεξαδικούς χαρακτήρες, οι οποίοι αντιπροσωπεύουν 16 ακατέργαστα byte ή 128 bit - το μήκος του κλειδιού αποκρυπτογράφησης AES που θα χρησιμοποιήσετε για να ανακτήσετε τα δεδομένα σας:

Η Παραλλαγή DEADBOLT Η παραπάνω εικόνα περιλάμβανε ακόμη και μια ενσωματωμένη κοροϊδία στο QNAP, προσφέροντας να πουλήσει στην εταιρεία ένα κλειδί αποκρυπτογράφησης "ενός μεγέθους που ταιριάζει σε όλους" που θα λειτουργούσε σε οποιαδήποτε επηρεαζόμενη συσκευή:

Προφανώς, οι παραπάνω απατεώνες ήλπιζαν ότι η QNAP θα ένιωθε αρκετά ένοχη για την έκθεση των πελατών της σε μια ευπάθεια μηδενικής ημέρας, ώστε να κερδίζει το BTC 50 (επί του παρόντος περίπου 1,000,000 $ [2022-09-07T16:15Z]) για να τους απομακρύνει , αντί κάθε θύμα να πληρώνει 0.3 BTC (περίπου 6000 $ τώρα) ξεχωριστά.

Το DEADBOLT ανεβαίνει ξανά

Η QNAP μόλις ανέφερε ότι το DEADBOLT είναι ξανακάνει τους γύρους, με τους απατεώνες να εκμεταλλεύονται τώρα μια ευπάθεια σε μια δυνατότητα QNAP NAS που ονομάζεται Σταθμός φωτογραφιών.

Η QNAP δημοσίευσε μια ενημέρωση κώδικα και, όπως είναι λογικό, προτρέπει τους πελάτες της να βεβαιωθούν ότι έχουν ενημερώσει.

Τι να κάνω;

Εάν έχετε ένα προϊόν QNAP NAS οπουδήποτε στο δίκτυό σας και χρησιμοποιείτε το Σταθμός φωτογραφιών στοιχείο λογισμικού, μπορεί να διατρέχετε κίνδυνο.

QNAP συμβουλές είναι:

• Πάρτε το έμπλαστρο. Μέσω του προγράμματος περιήγησής σας, συνδεθείτε στον πίνακα ελέγχου QNAP στη συσκευή και επιλέξτε Πίνακας ελέγχου > σύστημα > firmware Update > Ζωντανή ενημέρωση > Ελεγχος για ενημερώσεις. Ενημερώστε επίσης τις εφαρμογές στη συσκευή NAS χρησιμοποιώντας Κέντρο εφαρμογών > Εγκατάσταση ενημερωμένων εκδόσεων > Όλα.
• Αποκλείστε την προώθηση θύρας στο δρομολογητή σας εάν δεν τη χρειάζεστε. Αυτό βοηθά στην αποτροπή της κυκλοφορίας από το Διαδίκτυο από το να «φθάσει» μέσω του δρομολογητή σας προκειμένου να συνδεθείτε και να συνδεθείτε σε υπολογιστές και διακομιστές εντός του LAN σας.
• Απενεργοποιήστε το Universal Plug and Play (uPnP) στο δρομολογητή σας και στις επιλογές NAS, εάν μπορείτε. Η κύρια λειτουργία του uPnP είναι να διευκολύνει τους υπολογιστές στο δίκτυό σας να εντοπίζουν χρήσιμες υπηρεσίες όπως κουτιά NAS, εκτυπωτές και άλλα. Δυστυχώς, το uPnP συχνά καθιστά επίσης επικίνδυνα εύκολο (ή ακόμα και αυτόματο) για τις εφαρμογές εντός του δικτύου σας να ανοίγουν κατά λάθος πρόσβαση σε χρήστες εκτός του δικτύου σας.
• Διαβάστε τις συγκεκριμένες συμβουλές της QNAP σχετικά με την εξασφάλιση απομακρυσμένης πρόσβασης στο κουτί NAS σας, εάν χρειάζεται πραγματικά να το ενεργοποιήσετε. Μάθετε πώς να περιορίζετε την απομακρυσμένη πρόσβαση μόνο σε προσεκτικά καθορισμένους χρήστες.

---

---