네, 랜섬웨어는 여전히 일.
아니요, 모든 랜섬웨어 공격이 예상대로 전개되는 것은 아닙니다.
대부분의 현대 랜섬웨어 공격에는 두 그룹의 범죄자가 포함됩니다. 하나는 맬웨어를 만들고 갈취 지불을 처리하는 핵심 갱이고, 다른 하나는 공격을 수행하기 위해 네트워크에 적극적으로 침입하는 느슨한 "계열사" 클랜의 "구성원"입니다.
일단 그들이 들어가면, 계열사는 피해자의 네트워크를 돌아다니며 잠시 동안 거짓말을 하다가, 일반적으로 최악의 시간에 가능한 한 빨리 가능한 한 많은 컴퓨터를 갑자기 그리고 종종 파괴적으로 뒤섞습니다. 하루의.
계열사는 일반적으로 그들이 수행하는 모든 공격에 대해 협박 금액의 70%를 가져가는 반면, 핵심 범죄자는 다른 사람의 컴퓨터에 직접 침입할 필요 없이 모든 계열사가 수행하는 모든 공격의 30%를 iTunes와 같은 방식으로 가져갑니다.
어쨌든 대부분의 맬웨어 공격이 발생하는 방식입니다.
그러나 Naked Security의 일반 독자는 일부 피해자, 특히 가정 사용자와 중소기업이 결국 NAS를 통해 협박및 네트워크 연결 스토리지 장치.
플러그 앤 플레이 네트워크 스토리지
구어체로 알려진 NAS 상자는 일반적으로 Linux를 실행하는 미리 구성된 소형 서버로, 일반적으로 라우터에 직접 연결한 다음 네트워크의 모든 사람을 위해 간단하고 빠른 파일 서버로 작동합니다.
Windows 라이센스를 구입하거나, Active Directory를 설정하거나, Linux를 관리하는 방법을 배우거나, Samba를 설치하거나, CIFS 및 기타 네트워크 파일 시스템을 다룰 필요가 없습니다.
NAS 박스는 "플러그 앤 플레이" 네트워크 연결 스토리지이며 LAN에서 실행하는 것이 매우 간편하기 때문에 널리 사용됩니다.
그러나 상상할 수 있듯이 오늘날의 클라우드 중심 시대에 많은 NAS 사용자는 종종 우연히, 때로는 고의로 서버를 인터넷에 개방하게 되어 잠재적으로 위험한 결과를 초래합니다.
특히, 공용 인터넷에서 NAS 장치에 연결할 수 있고 NAS 장치의 내장 소프트웨어 또는 펌웨어에 악용 가능한 취약점이 있는 경우 실제로 문제가 발생할 수 있습니다.
사기꾼은 네트워크에 있는 랩톱이나 휴대폰을 만질 필요 없이 트로피 데이터를 가지고 도망칠 수 있을 뿐만 아니라 NAS 상자의 모든 데이터를 수정할 수도 있습니다…
…포함 암호화된 등가물을 사용하여 모든 원본 파일을 직접 다시 작성, 도둑들만이 해독 키를 알고 있습니다.
간단히 말해서 LAN의 NAS 상자에 직접 액세스할 수 있는 랜섬웨어 공격자는 거의 모든 디지털 라이프를 탈선시키고 NAS 장치에 액세스하고 네트워크의 다른 것은 건드리지 않음으로써 직접 협박할 수 있습니다.
악명 높은 DEADBOLT 랜섬웨어
그것이 바로 악명 높은 방법입니다 DEADBOLT 랜섬웨어 사기꾼 작동합니다.
그들은 Windows 컴퓨터, Mac 랩톱, 휴대폰 또는 태블릿을 공격하는 데 신경 쓰지 않습니다. 그들은 데이터의 주요 저장소로 바로 이동합니다.
(밤에 대부분의 장치를 끄거나 "잠자기"하거나 잠글 수 있지만 NAS 상자는 라우터처럼 매일 24시간 조용히 작동합니다.)
DEADBOLT 갱은 잘 알려진 NAS 공급업체 QNAP 제품의 취약성을 목표로 하여 네트워크의 다른 모든 사람을 디지털 생활에서 차단한 다음 데이터를 "복구"하기 위해 수천 달러를 요구합니다.
공격 후 다음에 NAS 상자에서 파일을 다운로드하거나 웹 인터페이스를 통해 구성하려고 하면 다음과 같이 표시될 수 있습니다.
일반적인 DEADBOLT 공격에서는 이메일이나 IM을 통한 협상이 없습니다. 사기꾼은 위에서 볼 수 있듯이 무뚝뚝하고 직접적입니다.
사실, 당신은 일반적으로 단어를 사용하여 그들과 전혀 상호 작용할 수 없습니다.
온라인에 저장되지 않은 백업 복사본과 같이 스크램블된 파일을 복구할 다른 방법이 없고 파일을 다시 받기 위해 비용을 지불해야 하는 경우 사기꾼은 단순히 돈을 보내기를 기대합니다. 암호화폐 거래.
지갑에 비트코인이 도착하면 그들에게 보내는 "메시지"가 됩니다.
그 대가로 그들은 당신에게 무의미한 금액을 "지불"하며, 이 "환불"은 당신과의 의사 소통의 총액입니다.
이 "환불"은 비트코인 거래 코멘트를 포함하는 방법으로 제출된 $0의 지불입니다.
해당 주석은 32개의 원시 바이트 또는 16비트(데이터를 복구하는 데 사용할 AES 암호 해독 키의 길이)를 나타내는 128개의 XNUMX진수 문자로 인코딩됩니다.
XNUMXD덴탈의 DEADBOLT 변종 위의 그림에는 영향을 받는 모든 장치에서 작동하는 "모든 암호 해독 키에 맞는 단일 크기"를 회사에 판매할 것을 제안하는 QNAP에 대한 내장된 조롱도 포함되어 있습니다.
아마도 위의 사기꾼들은 QNAP가 고객을 제로데이 취약점에 노출시킨 것에 대해 충분히 죄책감을 느끼길 바랐습니다. 이 취약점은 BTC 50(현재 약 $1,000,000[2022-09-07T16:15Z])을 사용하여 모든 사람을 곤경에 빠뜨릴 것입니다. , 각 피해자가 BTC 0.3(현재 약 $6000)을 개별적으로 지불하는 대신.
DEADBOLT는 다시 상승
QNAP는 DEADBOLT가 다시 라운드를 하다, 사기꾼이 현재 QNAP NAS 기능의 취약점을 악용하고 있습니다. 포토 스테이션.
QNAP는 패치를 게시했으며 고객에게 업데이트되었는지 확인하도록 촉구하는 것이 당연합니다.
무엇을해야 하는가?
네트워크의 어느 위치에나 QNAP NAS 제품이 있고 사용 중인 경우 포토 스테이션 소프트웨어 구성 요소로 인해 위험에 처할 수 있습니다.
QNAP의 조언 입니다
- 패치를 받으세요. 웹 브라우저를 통해 장치의 QNAP 제어판에 로그인하고 다음을 선택합니다. 제어 패널 > > 펌웨어 업데이트 > 실시간 업데이트 > 업데이트를 확인. 또한 다음을 사용하여 NAS 장치의 앱을 업데이트하십시오. App Center > 업데이트 설치 > All.
- 필요하지 않은 경우 라우터에서 포트 전달을 차단하십시오. 이는 인터넷 트래픽이 라우터를 "통과"하여 LAN 내부의 컴퓨터와 서버에 연결하고 로그인하는 것을 방지하는 데 도움이 됩니다.
- 가능하면 라우터와 NAS 옵션에서 범용 플러그 앤 플레이(uPnP)를 끄십시오. uPnP의 주요 기능은 네트워크의 컴퓨터가 NAS 상자, 프린터 등과 같은 유용한 서비스를 쉽게 찾을 수 있도록 하는 것입니다. 불행히도 uPnP는 종종 네트워크 내부의 앱이 실수로 네트워크 외부의 사용자에게 액세스 권한을 열도록 위험할 정도로 쉽게(또는 심지어 자동으로) 만듭니다.
- 정말로 활성화해야 하는 경우 NAS 상자에 대한 원격 액세스 보안에 대한 QNAP의 특정 조언을 읽으십시오. 신중하게 지정된 사용자에게만 원격 액세스를 제한하는 방법을 알아보세요.
