DEADBOLT ransomware alza di nuovo la testa, attacca i dispositivi QNAP

Sì, il ransomware lo è ancora una cosa.

No, non tutti gli attacchi ransomware si svolgono nel modo previsto.

La maggior parte degli attacchi ransomware contemporanei coinvolge due gruppi di criminali: un gruppo principale che crea il malware e gestisce i pagamenti per le estorsioni, e i “membri” di un clan di “affiliati” che irrompono attivamente nelle reti per eseguire gli attacchi.

Una volta entrati, gli affiliati vagano per la rete della vittima, cercando di farsi un'idea del terreno per un po', prima di codificare all'improvviso e spesso in modo devastante quanti più computer possono, il più velocemente possibile, in genere nel peggior momento possibile. del giorno.

Gli affiliati in genere intascano il 70% dei soldi del ricatto per ogni attacco che conducono, mentre i criminali principali prendono un 30% come iTunes per ogni attacco effettuato da ogni affiliato, senza mai aver bisogno di entrare nei computer di nessuno.

In ogni caso, è così che avviene la maggior parte degli attacchi malware.

Ma i lettori abituali di Naked Security sapranno che alcune vittime, in particolare gli utenti domestici e le piccole imprese, finiscono per essere colpite ricattati tramite il loro NAS, o storage collegato in rete dispositivi.

Archiviazione di rete plug-and-play

I NAS box, come sono conosciuti colloquialmente, sono server in miniatura e preconfigurati, solitamente con Linux, che vengono generalmente collegati direttamente al router e quindi agiscono come file server semplici e veloci per tutti gli utenti della rete.

Non è necessario acquistare licenze Windows, configurare Active Directory, imparare a gestire Linux, installare Samba o familiarizzare con CIFS e altri arcani del file system di rete.

I NAS sono dispositivi di archiviazione collegati in rete "plug-and-play" e popolari proprio per la facilità con cui puoi farli funzionare sulla tua LAN.

Come puoi immaginare, tuttavia, nell’era odierna incentrata sul cloud, molti utenti NAS finiscono per aprire i propri server a Internet – spesso per sbaglio, anche se a volte di proposito – con risultati potenzialmente pericolosi.

In particolare, se un dispositivo NAS è raggiungibile dalla rete Internet pubblica e il software o firmware incorporato nel dispositivo NAS contiene una vulnerabilità sfruttabile, potresti trovarti in seri problemi.

I truffatori non solo potrebbero scappare con i dati dei tuoi trofei, senza dover toccare nessuno dei laptop o telefoni cellulari sulla tua rete, ma anche modificare tutti i dati sul tuo NAS...

…Compreso riscrivendo direttamente tutti i file originali con equivalenti crittografati, solo i truffatori conoscono la chiave di riordino.

In poche parole, gli aggressori ransomware con accesso diretto al NAS sulla tua LAN potrebbero far deragliare quasi tutta la tua vita digitale e quindi ricattarti direttamente, semplicemente accedendo al tuo dispositivo NAS e non toccando nient'altro sulla rete.

Il famigerato ransomware DEADBOLT

È esattamente così che il famigerato DEADBOLT ransomware truffatori operare.

Non si preoccupano di attaccare computer Windows, laptop Mac, telefoni cellulari o tablet; vanno direttamente al tuo repository principale di dati.

(Probabilmente spegni, "metti in pausa" o blocchi la maggior parte dei tuoi dispositivi di notte, ma il tuo NAS probabilmente funziona silenziosamente 24 ore al giorno, tutti i giorni, proprio come il tuo router.)

Prendendo di mira le vulnerabilità nei prodotti del noto fornitore di NAS QNAP, la banda DEADBOLT mira a bloccare tutti gli altri sulla tua rete fuori dalle loro vite digitali e poi a spremerti diverse migliaia di dollari per "recuperare" i tuoi dati.

Dopo un attacco, la prossima volta che proverai a scaricare un file dal NAS o a configurarlo tramite la sua interfaccia web, potresti vedere qualcosa di simile a questo:

In un tipico attacco DEADBOLT, non c'è negoziazione via email o messaggistica istantanea: i truffatori sono schietti e diretti, come puoi vedere sopra.

In effetti, generalmente non riesci mai a interagire con loro usando le parole.

Se non hai altro modo per recuperare i tuoi file criptati, come una copia di backup che non è archiviata online, e sei costretto a pagare per riavere i tuoi file, i truffatori si aspettano semplicemente che tu invii loro i soldi una transazione di criptovaluta.

L'arrivo dei tuoi bitcoin nel loro portafoglio funge da "messaggio" per loro.

In cambio, ti “pagano” la principesca somma di niente, e questo “rimborso” rappresenta la somma totale della loro comunicazione con te.

Questo "rimborso" è un pagamento del valore di $ 0, inviato semplicemente per includere un commento sulla transazione bitcoin.

Quel commento è codificato come 32 caratteri esadecimali, che rappresentano 16 byte grezzi o 128 bit: la lunghezza della chiave di decrittazione AES che utilizzerai per recuperare i tuoi dati:

I Variante CATENACCIO nella foto sopra includeva anche una provocazione incorporata a QNAP, offrendo di vendere all'azienda una "chiave di decrittazione unica per tutti" che avrebbe funzionato su qualsiasi dispositivo interessato:

Presumibilmente, i truffatori di cui sopra speravano che QNAP si sentisse abbastanza in colpa per aver esposto i suoi clienti a una vulnerabilità zero-day da guadagnare BTC 50 (attualmente circa $ 1,000,000 [2022-09-07T16:15Z]) per togliere tutti dai guai , invece che ciascuna vittima paghi 0.3 BTC (circa $ 6000 ora) individualmente.

CATENACCIO si rialza

QNAP ha appena segnalato che DEADBOLT lo è facendo di nuovo il giro, con i criminali che ora sfruttano una vulnerabilità in una funzionalità del QNAP NAS chiamata Stazione fotografica.

QNAP ha pubblicato una patch e, comprensibilmente, invita i suoi clienti ad assicurarsi di averla aggiornata.

Cosa fare?

Se disponi di un prodotto QNAP NAS ovunque sulla tua rete e stai utilizzando Stazione fotografica componente software, potresti essere a rischio.

QNAP consigli è:

• Prendi la toppa. Tramite il browser web, accedere al pannello di controllo QNAP sul dispositivo e scegliere Pannello di controllo > Sistema > Aggiornamento firmware > Live Update > Ricerca aggiornamenti. Aggiorna anche le app sul tuo dispositivo NAS utilizzando App Centro > Installa aggiornamenti > Tutti.
• Blocca il port forwarding nel router se non ne hai bisogno. Ciò aiuta a impedire che il traffico proveniente da Internet "raggiunga" attraverso il router per connettersi e accedere a computer e server all'interno della LAN.
• Se possibile, disattiva Universal Plug and Play (uPnP) sul router e nelle opzioni NAS. La funzione principale di uPnP è quella di consentire ai computer della rete di individuare facilmente servizi utili come dispositivi NAS, stampanti e altro ancora. Sfortunatamente, uPnP spesso rende pericolosamente facile (o addirittura automatico) per le app all'interno della tua rete aprire per errore l'accesso a utenti esterni alla tua rete.
• Leggi i consigli specifici di QNAP sulla protezione dell'accesso remoto al tuo NAS se hai davvero bisogno di abilitarlo. Scopri come limitare l'accesso remoto solo a utenti accuratamente designati.

---

---