Izsiljevalska programska oprema DEADBOLT znova dvigne glavo in napade naprave QNAP

Yes, ransomware is še stvar.

Ne, vsi napadi izsiljevalske programske opreme se ne odvijajo tako, kot bi pričakovali.

Večina sodobnih napadov z izsiljevalsko programsko opremo vključuje dve skupini kriminalcev: osrednjo združbo, ki ustvarja zlonamerno programsko opremo in upravlja z izsiljevalskimi plačili, in »člane« ohlapno povezanega klana »povezanih družb«, ki aktivno vdirajo v omrežja za izvedbo napadov.

Ko so notri, podružnice nato tavajo po žrtvinem omrežju in nekaj časa spoznavajo stvar, preden nenadoma in pogosto uničujoče premešajo čim več računalnikov, kar se da hitro, običajno ob najslabšem možnem času. dneva.

Podružnice običajno pospravijo 70 % izsiljevalskega denarja za kakršne koli napade, ki jih izvedejo, medtem ko glavni kriminalci vzamejo iTunes, kot je 30 % vsakega napada, ki ga izvede vsak podružnica, ne da bi morali sami vdreti v računalnike kogarkoli.

Tako se vseeno zgodi večina napadov zlonamerne programske opreme.

Toda redni bralci Naked Security bodo vedeli, da nekatere žrtve, zlasti domači uporabniki in mala podjetja, na koncu dobijo izsiljevali preko svojega NAS-aali omrežno priključeno shranjevanje naprave.

Omrežni pomnilnik Plug-and-play

NAS škatle, kot jih pogovorno imenujemo, so miniaturni vnaprej konfigurirani strežniki, ki običajno uporabljajo Linux, ki so običajno priključeni neposredno na vaš usmerjevalnik in nato delujejo kot preprosti, hitri datotečni strežniki za vse v omrežju.

Ni vam treba kupiti licenc za Windows, nastaviti Active Directory, se naučiti upravljati Linux, namestiti Sambo ali se spoprijeti s CIFS in drugimi skrivnostmi omrežnih datotečnih sistemov.

Omarice NAS so omrežni pomnilnik »plug-and-play« in priljubljene ravno zaradi tega, kako preprosto jih lahko nastavite na delovanje v omrežju LAN.

As you can imagine, however, in today’s cloud-centric era, many NAS users end up opening up their servers to the internet – often by accident, though sometimes on purpose – with potentially dangerous results.

Predvsem, če je naprava NAS dosegljiva iz javnega interneta in vdelana programska oprema ali vdelana programska oprema v napravi NAS vsebuje ranljivost, ki jo je mogoče izkoristiti, ste lahko v resnih težavah.

Crooks ne bi mogel samo pobegniti z vašimi trofejnimi podatki, ne da bi se morali dotakniti katerega koli od prenosnikov ali mobilnih telefonov v vašem omrežju, ampak tudi spremeniti vse podatke v vaši napravi NAS ...

… vključno z neposredno prepisovanje vseh vaših izvirnih datotek s šifriranimi ekvivalenti, pri čemer samo prevaranti poznajo ključ za razkodiranje.

Simply put, ransomware attackers with direct access to the NAS box on your LAN could derail almost all your digital life, and then blackmail you directly, just by accessing your NAS device, and touching nothing else on the network.

Zloglasna izsiljevalska programska oprema DEADBOLT

That’s exactly how the infamous DEADBOLT ransomware crooks delovati.

They don’t bother attacking Windows computers, Mac laptops, mobile phones or tablets; they just go straight for your main repository of data.

(Verjetno večino svojih naprav ponoči izklopite, »spite« ali zaklenete, vendar vaš NAS box verjetno tiho deluje 24 ur na dan, vsak dan, tako kot vaš usmerjevalnik.)

By targeting vulnerabilities in the products of well-known NAS vendor QNAP, the DEADBOLT gang aims to lock everyone else on your network out of their digital lives, and then to squeeze you for several thousands dollars to “recover” your data.

After an attack, when you next try to download a file from the NAS box, or to configure it via its web interface, you might see something like this:

In a typical DEADBOLT attack, there’s no negotiation via email or IM – the crooks are blunt and direct, as you see above.

In fact, you generally never get to interact with them using words at all.

If you don’t have any other way to recover your scrambled files, such as a backup copy that’s not stored online, and you’re forced to pay up to get your files back, the crooks expect you simply to send them the money in a cryptocoin transaction.

The arrival of your bitcoins in their wallet serves as your “message” to them.

In return, they “pay” you the princely sum of nothing, with this “refund” being the sum total of their communication with you.

This “refund” is a payment that is worth $0, submitted simply as a way of including a bitcoin transaction comment.

That comment is encoded as 32 hexadecimal characters, which represent 16 raw bytes, or 128 bits – the length of the AES decryption key you will use to recover your data:

O DEADBOLT variant pictured above even included a built-in taunt to QNAP, offering to sell the company a “one size fits all decryption key” that would work on any affected device:

Presumably, the crooks above were hoping that QNAP would feel guilty enough about exposing its customers to a zero-day vulnerability that it would pony up BTC 50 (currently about $1,000,000 [2022-09-07T16:15Z]) to get everyone off the hook, instead of each victim paying up BTC 0.3 (about $6000 now) individually.

DEADBOLT spet vstane

QNAP je pravkar poročal, da je DEADBOLT spet delam kroge, with the crooks now exploiting a vulnerability in a QNAP NAS feature called Foto postaja.

QNAP je objavil popravek in svojo stranko razumljivo poziva, naj zagotovi posodobitev.

Kaj storiti?

Če imate izdelek QNAP NAS kjer koli v omrežju in uporabljate Foto postaja komponento programske opreme, ste lahko v nevarnosti.

QNAP’s nasveti je:

• Pridobite obliž. Prek spletnega brskalnika se prijavite v nadzorno ploščo QNAP na napravi in ​​izberite nadzorno ploščo > sistem > Posodobitev strojne programske opreme > Posodobitev v živo > Preveri posodobitve. Posodobite tudi aplikacije v napravi NAS z uporabo Center aplikacij > Namesti posodobitve > vsi.
• Blokirajte posredovanje vrat v usmerjevalniku, če ga ne potrebujete. To pomaga preprečiti, da bi promet iz interneta "dosegel" vaš usmerjevalnik, da bi se povezali in prijavili v računalnike in strežnike v vašem LAN.
• Če lahko, izklopite Universal Plug and Play (uPnP) na usmerjevalniku in v možnostih NAS. The primary function of uPnP is to make it easy for computers on your network to locate useful services such as NAS boxes, printers, and more. Unfortunately, uPnP often also makes it dangerously easy (or even automatic) for apps inside your network to open up access to users outside your network by mistake.
• Preberite posebne nasvete QNAP o varovanju oddaljenega dostopa do vašega predala NAS, če ga res morate omogočiti. Naučite se omejiti oddaljeni dostop samo na skrbno določene uporabnike.

---

---