O ransomware DEADBOLT volta a aparecer e ataca dispositivos QNAP

Sim, o ransomware é ainda é uma coisa.

Não, nem todos os ataques de ransomware se desenrolam da maneira que você espera.

A maioria dos ataques de ransomware contemporâneos envolve dois grupos de criminosos: uma gangue principal que cria o malware e lida com os pagamentos de extorsão e “membros” de um clã de “afiliados” que invadem ativamente as redes para realizar os ataques.

Uma vez dentro, os afiliados vagam pela rede da vítima, entendendo o terreno por um tempo, antes de embaralhar de forma abrupta e muitas vezes devastadora o máximo de computadores que puderem, o mais rápido possível, geralmente no pior momento possível. do dia.

As afiliadas normalmente embolsam 70% do dinheiro da chantagem por quaisquer ataques que realizam, enquanto os principais criminosos recebem 30%, como o iTunes, de cada ataque feito por todas as afiliadas, sem precisar invadir os computadores de ninguém.

É assim que a maioria dos ataques de malware acontece.

Mas os leitores regulares da Naked Security saberão que algumas vítimas, principalmente usuários domésticos e pequenas empresas, acabam ficando chantageado através de seu NASou armazenamento conectado em rede dispositivos.

Armazenamento de rede plug-and-play

As caixas NAS, como são conhecidas coloquialmente, são servidores em miniatura e pré-configurados, geralmente executando Linux, que normalmente são conectados diretamente ao seu roteador e, em seguida, atuam como servidores de arquivos simples e rápidos para todos na rede.

Não há necessidade de comprar licenças do Windows, configurar o Active Directory, aprender a gerenciar o Linux, instalar o Samba ou se familiarizar com o CIFS e outros arcanos do sistema de arquivos de rede.

As caixas NAS são armazenamento conectado à rede “plug-and-play” e são populares precisamente devido à facilidade com que você pode executá-las em sua LAN.

Como você pode imaginar, no entanto, na era atual centrada na nuvem, muitos usuários de NAS acabam abrindo seus servidores para a Internet – muitas vezes por acidente, embora às vezes propositalmente – com resultados potencialmente perigosos.

Notavelmente, se um dispositivo NAS for acessível pela Internet pública e o software ou firmware incorporado no dispositivo NAS contiver uma vulnerabilidade explorável, você poderá estar com problemas reais.

Os bandidos não poderiam apenas fugir com seus dados de troféus, sem precisar tocar em nenhum dos laptops ou telefones celulares em sua rede, mas também modificar todos os dados em sua caixa NAS…

…Incluindo reescrevendo diretamente todos os seus arquivos originais com equivalentes criptografados, com os bandidos sozinhos conhecendo a chave de decodificação.

Simplificando, os invasores de ransomware com acesso direto à caixa NAS em sua LAN podem atrapalhar quase toda a sua vida digital e, em seguida, chantageá-lo diretamente, apenas acessando seu dispositivo NAS e não tocando em mais nada na rede.

O infame ransomware DEADBOLT

Foi exatamente assim que o infame Criminosos de ransomware DEADBOLT operar.

Eles não se preocupam em atacar computadores Windows, laptops Mac, celulares ou tablets; eles simplesmente vão direto para o seu repositório principal de dados.

(Você provavelmente desliga, “dorme” ou bloqueia a maioria dos seus dispositivos à noite, mas sua caixa NAS provavelmente funciona silenciosamente 24 horas por dia, todos os dias, assim como seu roteador.)

Ao visar vulnerabilidades nos produtos do conhecido fornecedor de NAS QNAP, a gangue DEADBOLT pretende bloquear todas as outras pessoas em sua rede fora de suas vidas digitais e, em seguida, espremê-lo por vários milhares de dólares para “recuperar” seus dados.

Após um ataque, na próxima tentativa de baixar um arquivo da caixa do NAS ou configurá-lo por meio de sua interface web, você poderá ver algo assim:

Em um ataque DEADBOLT típico, não há negociação por e-mail ou mensagem instantânea — os criminosos são contundentes e diretos, como você pode ver acima.

Na verdade, você geralmente nunca consegue interagir com eles usando palavras.

Se você não tiver outra maneira de recuperar seus arquivos criptografados, como uma cópia de backup que não esteja armazenada on-line, e for forçado a pagar para recuperar seus arquivos, os criminosos esperam que você simplesmente envie o dinheiro para eles. uma transação de criptomoeda.

A chegada de seus bitcoins na carteira serve como sua “mensagem” para eles.

Em troca, eles “pagam” a você a soma principesca de nada, sendo esse “reembolso” a soma total da comunicação deles com você.

Este “reembolso” é um pagamento no valor de US$ 0, enviado simplesmente como forma de incluir um comentário sobre a transação de bitcoin.

Esse comentário é codificado como 32 caracteres hexadecimais, que representam 16 bytes brutos ou 128 bits – o comprimento da chave de descriptografia AES que você usará para recuperar seus dados:

A Variante DEADBOLT A foto acima incluía até mesmo uma provocação integrada à QNAP, oferecendo a venda à empresa de uma “chave de descriptografia de tamanho único” que funcionaria em qualquer dispositivo afetado:

Presumivelmente, os criminosos acima esperavam que a QNAP se sentisse culpada o suficiente por expor seus clientes a uma vulnerabilidade de dia zero a ponto de desembolsar BTC 50 (atualmente cerca de US$ 1,000,000 [2022-09-07T16:15Z]) para tirar todos de responsabilidade , em vez de cada vítima pagar BTC 0.3 (cerca de US$ 6000 agora) individualmente.

DEADBOLT sobe novamente

A QNAP acaba de informar que o DEADBOLT está fazendo as voltas novamente, com os criminosos agora explorando uma vulnerabilidade em um recurso do QNAP NAS chamado Estação de fotos.

A QNAP publicou um patch e, compreensivelmente, está pedindo a seus clientes que garantam a atualização.

O que fazer?

Se você tiver um produto QNAP NAS em qualquer lugar da sua rede e estiver usando o Estação de fotos componente de software, você pode estar em risco.

QNAP conselho é:

• Pegue o remendo. Através do seu navegador da web, faça login no painel de controle da QNAP no dispositivo e escolha Painel de controle > System > Atualização de firmware > Atualização ao vivo > Verifique atualizações. Atualize também os aplicativos em seu dispositivo NAS usando App Center > Instalar atualizações > Todos os Produtos.
• Bloqueie o encaminhamento de porta no seu roteador se você não precisar dele. Isso ajuda a evitar que o tráfego da Internet “alcançe” seu roteador para conectar e fazer login em computadores e servidores dentro de sua LAN.
• Desative o Universal Plug and Play (uPnP) em seu roteador e nas opções de NAS, se puder. A principal função do uPnP é facilitar aos computadores da sua rede a localização de serviços úteis, como caixas NAS, impressoras e muito mais. Infelizmente, o uPnP muitas vezes também torna perigosamente fácil (ou até mesmo automático) que aplicativos dentro da sua rede abram acesso a usuários fora da sua rede por engano.
• Leia os conselhos específicos da QNAP sobre como proteger o acesso remoto à sua caixa NAS se você realmente precisar habilitá-lo. Saiba como restringir o acesso remoto apenas a usuários cuidadosamente designados.

---

---