Izsiljevalska programska oprema DEADBOLT znova dvigne glavo in napade naprave QNAP

Da, izsiljevalska programska oprema je še stvar.

Ne, vsi napadi izsiljevalske programske opreme se ne odvijajo tako, kot bi pričakovali.

Večina sodobnih napadov z izsiljevalsko programsko opremo vključuje dve skupini kriminalcev: osrednjo združbo, ki ustvarja zlonamerno programsko opremo in upravlja z izsiljevalskimi plačili, in »člane« ohlapno povezanega klana »povezanih družb«, ki aktivno vdirajo v omrežja za izvedbo napadov.

Ko so notri, podružnice nato tavajo po žrtvinem omrežju in nekaj časa spoznavajo stvar, preden nenadoma in pogosto uničujoče premešajo čim več računalnikov, kar se da hitro, običajno ob najslabšem možnem času. dneva.

Podružnice običajno pospravijo 70 % izsiljevalskega denarja za kakršne koli napade, ki jih izvedejo, medtem ko glavni kriminalci vzamejo iTunes, kot je 30 % vsakega napada, ki ga izvede vsak podružnica, ne da bi morali sami vdreti v računalnike kogarkoli.

Tako se vseeno zgodi večina napadov zlonamerne programske opreme.

Toda redni bralci Naked Security bodo vedeli, da nekatere žrtve, zlasti domači uporabniki in mala podjetja, na koncu dobijo izsiljevali preko svojega NAS-aali omrežno priključeno shranjevanje naprave.

Omrežni pomnilnik Plug-and-play

NAS škatle, kot jih pogovorno imenujemo, so miniaturni vnaprej konfigurirani strežniki, ki običajno uporabljajo Linux, ki so običajno priključeni neposredno na vaš usmerjevalnik in nato delujejo kot preprosti, hitri datotečni strežniki za vse v omrežju.

Ni vam treba kupiti licenc za Windows, nastaviti Active Directory, se naučiti upravljati Linux, namestiti Sambo ali se spoprijeti s CIFS in drugimi skrivnostmi omrežnih datotečnih sistemov.

Omarice NAS so omrežni pomnilnik »plug-and-play« in priljubljene ravno zaradi tega, kako preprosto jih lahko nastavite na delovanje v omrežju LAN.

Kot si lahko predstavljate, pa v današnji dobi, osredotočeni na oblak, številni uporabniki NAS na koncu odprejo svoje strežnike v internet – pogosto po naključju, čeprav včasih namerno – s potencialno nevarnimi rezultati.

Predvsem, če je naprava NAS dosegljiva iz javnega interneta in vdelana programska oprema ali vdelana programska oprema v napravi NAS vsebuje ranljivost, ki jo je mogoče izkoristiti, ste lahko v resnih težavah.

Crooks ne bi mogel samo pobegniti z vašimi trofejnimi podatki, ne da bi se morali dotakniti katerega koli od prenosnikov ali mobilnih telefonov v vašem omrežju, ampak tudi spremeniti vse podatke v vaši napravi NAS ...

… vključno z neposredno prepisovanje vseh vaših izvirnih datotek s šifriranimi ekvivalenti, pri čemer samo prevaranti poznajo ključ za razkodiranje.

Preprosto povedano, napadalci z izsiljevalsko programsko opremo z neposrednim dostopom do predala NAS v vašem omrežju LAN bi lahko iztirili skoraj vse vaše digitalno življenje in vas nato neposredno izsiljevali, samo z dostopom do vaše naprave NAS in se ne dotaknili ničesar drugega v omrežju.

Zloglasna izsiljevalska programska oprema DEADBOLT

Točno tako je razvpito DEADBOLT prevaranti z izsiljevalsko programsko opremo delovati.

Ne trudijo se napadati računalnikov z operacijskim sistemom Windows, prenosnikov Mac, mobilnih telefonov ali tablic; gredo naravnost v vaše glavno skladišče podatkov.

(Verjetno večino svojih naprav ponoči izklopite, »spite« ali zaklenete, vendar vaš NAS box verjetno tiho deluje 24 ur na dan, vsak dan, tako kot vaš usmerjevalnik.)

Z ciljanjem na ranljivosti v izdelkih znanega prodajalca NAS QNAP želi tolpa DEADBOLT zakleniti vse druge v vašem omrežju iz njihovih digitalnih življenj in nato od vas zahtevati več tisoč dolarjev za »obnovitev« vaših podatkov.

Ko boste po napadu naslednjič poskušali prenesti datoteko iz predala NAS ali jo konfigurirati prek spletnega vmesnika, boste morda videli nekaj takega:

Pri tipičnem napadu DEADBOLT ni pogajanj prek e-pošte ali neposrednih sporočil – prevaranti so odkriti in neposredni, kot vidite zgoraj.

Pravzaprav na splošno nikoli ne komunicirate z njimi z besedami.

Če nimate nobenega drugega načina za obnovitev kodiranih datotek, na primer varnostne kopije, ki ni shranjena na spletu, in ste prisiljeni plačati, da dobite svoje datoteke nazaj, prevaranti pričakujejo, da jim preprosto pošljete denar transakcija s kripto kovanci.

Prihod vaših bitcoinov v njihovo denarnico jim služi kot vaše »sporočilo«.

V zameno vam "plačajo" veliko vsoto nič, pri čemer je to "vračilo" vsota njihove komunikacije z vami.

To "vračilo" je plačilo, ki je vredno 0 USD, predloženo preprosto kot način vključitve komentarja o transakciji z bitcoini.

Ta komentar je kodiran kot 32 šestnajstiških znakov, ki predstavljajo 16 neobdelanih bajtov ali 128 bitov – dolžina ključa za dešifriranje AES, ki ga boste uporabili za obnovitev podatkov:

O DEADBOLT varianta na zgornji sliki je celo vsebovala vgrajeno posmehovanje QNAP-u, ki je podjetju ponudilo prodajo »ključa za dešifriranje, ki ustreza vsem«, ki bi deloval na kateri koli prizadeti napravi:

Verjetno so zgornji sleparji upali, da se bo QNAP počutil dovolj krivega, ker je svoje stranke izpostavil ranljivosti ničelnega dne, da bo zbral BTC 50 (trenutno približno 1,000,000 $ [2022-09-07T16:15Z]), da bi vse spravil s trnka , namesto da bi vsaka žrtev plačala 0.3 BTC (zdaj približno 6000 $) posebej.

DEADBOLT spet vstane

QNAP je pravkar poročal, da je DEADBOLT spet delam kroge, pri čemer prevaranti zdaj izkoriščajo ranljivost v funkciji QNAP NAS, imenovani Foto postaja.

QNAP je objavil popravek in svojo stranko razumljivo poziva, naj zagotovi posodobitev.

Kaj storiti?

Če imate izdelek QNAP NAS kjer koli v omrežju in uporabljate Foto postaja komponento programske opreme, ste lahko v nevarnosti.

QNAP-jev nasveti je:

• Pridobite obliž. Prek spletnega brskalnika se prijavite v nadzorno ploščo QNAP na napravi in ​​izberite nadzorno ploščo > sistem > Posodobitev strojne programske opreme > Posodobitev v živo > Preveri posodobitve. Posodobite tudi aplikacije v napravi NAS z uporabo Center aplikacij > Namesti posodobitve > vsi.
• Blokirajte posredovanje vrat v usmerjevalniku, če ga ne potrebujete. To pomaga preprečiti, da bi promet iz interneta "dosegel" vaš usmerjevalnik, da bi se povezali in prijavili v računalnike in strežnike v vašem LAN.
• Če lahko, izklopite Universal Plug and Play (uPnP) na usmerjevalniku in v možnostih NAS. Primarna funkcija uPnP je, da računalnikom v vašem omrežju olajša iskanje uporabnih storitev, kot so predali NAS, tiskalniki in drugo. Na žalost uPnP pogosto tudi nevarno olajša (ali celo samodejno) aplikacijam v vašem omrežju, da po pomoti odprejo dostop uporabnikom zunaj vašega omrežja.
• Preberite posebne nasvete QNAP o varovanju oddaljenega dostopa do vašega predala NAS, če ga res morate omogočiti. Naučite se omejiti oddaljeni dostop samo na skrbno določene uporabnike.

---

---