แรนซัมแวร์ DEADBOLT โผล่หัวอีกครั้ง โจมตีอุปกรณ์ QNAP

ใช่ แรนซัมแวร์คือ ยังคงเป็นสิ่งที่.

ไม่ ไม่ใช่ว่าการโจมตีของแรนซัมแวร์ทั้งหมดจะเกิดขึ้นในแบบที่คุณคาดหวัง

การโจมตีด้วยแรนซัมแวร์ร่วมสมัยส่วนใหญ่เกี่ยวข้องกับอาชญากรสองกลุ่ม: กลุ่มแกนหลักที่สร้างมัลแวร์และจัดการการชำระเงินด้วยการกรรโชก และ "สมาชิก" ของกลุ่ม "แอฟฟิลิเอต" ที่ไม่ฝักใฝ่ฝ่ายใดที่บุกเข้าไปในเครือข่ายเพื่อทำการโจมตี

เมื่อพวกเขาเข้าไปแล้ว บริษัทในเครือก็จะเดินไปรอบ ๆ เครือข่ายของเหยื่อ หาเรื่องหลอกลวงที่ดินอยู่พักหนึ่ง ก่อนที่เขาจะแย่งชิงคอมพิวเตอร์ให้มากที่สุดโดยฉับพลันและทำลายล้างให้มากที่สุด โดยเร็วที่สุด โดยปกติแล้วจะเป็นช่วงเวลาที่แย่ที่สุด ของวัน

โดยปกติแล้ว บริษัทในเครือจะจ่ายเงิน 70% ของเงินแบล็กเมล์สำหรับการโจมตีใดๆ ที่พวกเขาทำ ในขณะที่อาชญากรหลักรับเอา iTunes-ike 30% ของการโจมตีทั้งหมดที่ทำโดยบริษัทในเครือทุกราย โดยไม่จำเป็นต้องเจาะเข้าไปในคอมพิวเตอร์ของใครเลย

นั่นเป็นวิธีที่มัลแวร์โจมตีส่วนใหญ่เกิดขึ้นอยู่ดี

แต่ผู้อ่านทั่วไปของ Naked Security จะรู้ว่าผู้ที่ตกเป็นเหยื่อบางราย โดยเฉพาะผู้ใช้ตามบ้านและธุรกิจขนาดเล็กต้องจบลงด้วย แบล็กเมล์ผ่าน NAS . ของพวกเขา,หรือ ที่เก็บข้อมูลบนเครือข่าย อุปกรณ์

ที่เก็บข้อมูลเครือข่าย Plug-and-play

กล่อง NAS ที่รู้จักกันทั่วไปว่าเป็นเซิร์ฟเวอร์ขนาดเล็กที่กำหนดค่าไว้ล่วงหน้า โดยปกติแล้วจะใช้ Linux ซึ่งโดยทั่วไปจะเสียบเข้ากับเราเตอร์ของคุณโดยตรง จากนั้นทำหน้าที่เป็นเซิร์ฟเวอร์ไฟล์ที่ง่าย รวดเร็วสำหรับทุกคนในเครือข่าย

ไม่จำเป็นต้องซื้อใบอนุญาต Windows, ตั้งค่า Active Directory, เรียนรู้วิธีจัดการ Linux, ติดตั้ง Samba หรือใช้งาน CIFS และระบบไฟล์เครือข่ายอื่นๆ

กล่อง NAS เป็นที่เก็บข้อมูลบนเครือข่ายแบบ "เสียบแล้วเล่น" และได้รับความนิยมอย่างมากเนื่องจากคุณสามารถเรียกใช้งานบน LAN ของคุณได้อย่างง่ายดาย

อย่างที่คุณจินตนาการได้ อย่างไรก็ตาม ในยุคที่เน้นไปที่ระบบคลาวด์ในปัจจุบัน ผู้ใช้ NAS จำนวนมากลงเอยด้วยการเปิดเซิร์ฟเวอร์ของตนไปยังอินเทอร์เน็ต ซึ่งมักจะเกิดขึ้นโดยบังเอิญ แม้ว่าบางครั้งโดยตั้งใจก็ตาม ด้วยผลลัพธ์ที่อาจเป็นอันตราย

โดยเฉพาะอย่างยิ่ง หากอุปกรณ์ NAS สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ และซอฟต์แวร์หรือเฟิร์มแวร์แบบฝังตัว บนอุปกรณ์ NAS มีช่องโหว่ที่สามารถหาช่องโหว่ได้ คุณอาจประสบปัญหาอย่างแท้จริง

โจรไม่สามารถจัดการกับข้อมูลถ้วยรางวัลของคุณได้ โดยไม่จำเป็นต้องแตะแล็ปท็อปหรือโทรศัพท์มือถือใดๆ ในเครือข่ายของคุณ แต่ยังแก้ไขข้อมูลทั้งหมดในกล่อง NAS ของคุณ...

…รวมทั้ง เขียนไฟล์ต้นฉบับทั้งหมดของคุณโดยตรงด้วยการเข้ารหัสที่เทียบเท่ากับพวกโจรคนเดียวที่รู้กุญแจไขกุญแจไข

พูดง่ายๆ ก็คือ ผู้โจมตีแรนซัมแวร์ที่เข้าถึงกล่อง NAS โดยตรงบน LAN ของคุณอาจทำให้ชีวิตดิจิทัลของคุณหยุดชะงัก จากนั้นแบล็กเมล์คุณโดยตรง เพียงเข้าถึงอุปกรณ์ NAS ของคุณ และไม่แตะต้องสิ่งอื่นใดบนเครือข่าย

DEADBOLT ransomware ที่น่าอับอาย

นั่นเป็นวิธีที่น่าอับอาย DEADBOLT ransomware โจร ทำงาน

พวกเขาไม่รบกวนการโจมตีคอมพิวเตอร์ Windows, แล็ปท็อป Mac, โทรศัพท์มือถือหรือแท็บเล็ต พวกเขาเพียงแค่ตรงไปยังที่เก็บข้อมูลหลักของคุณ

(คุณอาจปิด, "พักเครื่อง" หรือล็อกอุปกรณ์ส่วนใหญ่ในตอนกลางคืน แต่กล่อง NAS ของคุณอาจทำงานอย่างเงียบ ๆ ตลอด 24 ชั่วโมงทุกวัน เช่นเดียวกับเราเตอร์ของคุณ)

ด้วยการกำหนดเป้าหมายช่องโหว่ในผลิตภัณฑ์ของผู้จำหน่าย NAS ที่รู้จักกันดีอย่าง QNAP แก๊งค์ DEADBOLT มีเป้าหมายที่จะล็อกทุกคนในเครือข่ายของคุณให้พ้นจากชีวิตดิจิทัล จากนั้นบีบเงินหลายพันดอลลาร์เพื่อ "กู้คืน" ข้อมูลของคุณ

หลังจากการโจมตี เมื่อคุณพยายามดาวน์โหลดไฟล์จากกล่อง NAS หรือกำหนดค่าผ่านเว็บอินเทอร์เฟซ คุณอาจเห็นสิ่งนี้:

ในการโจมตีแบบ DEADBOLT ทั่วไป จะไม่มีการเจรจาผ่านอีเมลหรือ IM – นักต้มตุ๋นนั้นตรงไปตรงมาและตรงไปตรงมา ดังที่คุณเห็นด้านบน

อันที่จริง โดยทั่วไปแล้วคุณไม่เคยโต้ตอบกับพวกเขาโดยใช้คำพูดเลย

หากคุณไม่มีวิธีอื่นในการกู้คืนไฟล์ที่มีสัญญาณรบกวน เช่น สำเนาสำรองที่ไม่ได้จัดเก็บออนไลน์ และคุณถูกบังคับให้จ่ายเงินเพื่อรับไฟล์คืน โจรมักคาดหวังให้คุณส่งเงินไปให้พวกเขา ธุรกรรม cryptocoin

การมาถึงของ bitcoins ของคุณในกระเป๋าเงินของพวกเขาทำหน้าที่เป็น "ข้อความ" ของคุณสำหรับพวกเขา

ในทางกลับกัน พวกเขา "จ่าย" ให้คุณเป็นยอดรวมที่ไม่มีอะไรเลย โดยที่ "การคืนเงิน" นี้เป็นยอดรวมของการติดต่อสื่อสารกับคุณ

“การคืนเงิน” นี้เป็นการชำระเงินที่มีมูลค่า $0 ที่ส่งเพียงเพื่อรวมความคิดเห็นเกี่ยวกับธุรกรรม bitcoin

ความคิดเห็นนั้นถูกเข้ารหัสเป็นอักขระฐานสิบหก 32 ตัว ซึ่งแทน 16 ไบต์ดิบหรือ 128 บิต ซึ่งเป็นความยาวของคีย์ถอดรหัส AES ที่คุณจะใช้ในการกู้คืนข้อมูลของคุณ:

พื้นที่ DEADBOLT ตัวแปร ภาพด้านบนยังรวมถึงการเยาะเย้ยในตัวของ QNAP โดยเสนอให้ขายบริษัท "หนึ่งขนาดเหมาะกับคีย์ถอดรหัสทั้งหมด" ที่จะทำงานกับอุปกรณ์ที่ได้รับผลกระทบ:

สันนิษฐานได้ว่าโจรข้างต้นหวังว่า QNAP จะรู้สึกผิดมากพอที่จะเปิดเผยลูกค้าของตนต่อช่องโหว่แบบ zero-day ซึ่งจะทำให้ BTC 50 เพิ่มขึ้น (ปัจจุบันอยู่ที่ประมาณ 1,000,000 เหรียญสหรัฐ [2022-09-07T16:15Z]) เพื่อให้ทุกคนหลุดพ้นจากเบ็ด แทนที่จะให้เหยื่อแต่ละรายจ่าย BTC 0.3 (ตอนนี้ประมาณ $6000) เป็นรายบุคคล

DEADBOLT เพิ่มขึ้นอีกครั้ง

QNAP เพิ่งรายงานว่า DEADBOLT เป็น เข้ารอบอีกแล้วโดยที่เหล่ามิจฉาชีพกำลังใช้ประโยชน์จากช่องโหว่ในฟีเจอร์ QNAP NAS ที่เรียกว่า สถานีถ่ายภาพ.

QNAP ได้เผยแพร่แพตช์แล้ว และกำลังกระตุ้นให้ลูกค้าตรวจสอบให้แน่ใจว่าพวกเขาได้อัปเดตแล้ว

จะทำอย่างไร?

หากคุณมีผลิตภัณฑ์ QNAP NAS ที่ใดก็ได้บนเครือข่ายของคุณ และคุณกำลังใช้ สถานีถ่ายภาพ ส่วนประกอบซอฟต์แวร์ คุณอาจมีความเสี่ยง

ของ QNAP คำแนะนำ คือ:

• รับแพทช์ ผ่านเว็บเบราว์เซอร์ของคุณ เข้าสู่ระบบแผงควบคุม QNAP บนอุปกรณ์และเลือก แผงควบคุม > System > ปรับปรุงเฟิร์มแว > ปรับปรุงสด > ตรวจสอบสำหรับการปรับปรุง. อัพเดทแอพในอุปกรณ์ NAS ของคุณด้วย ศูนย์แอพ > ติดตั้งการปรับปรุง > ทั้งหมด.
• บล็อกการส่งต่อพอร์ตในเราเตอร์ของคุณหากคุณไม่ต้องการ ซึ่งจะช่วยป้องกันการรับส่งข้อมูลจากอินเทอร์เน็ตจากการ "เข้าถึง" เราเตอร์ของคุณเพื่อเชื่อมต่อและเข้าสู่ระบบคอมพิวเตอร์และเซิร์ฟเวอร์ภายใน LAN ของคุณ
• ปิด Universal Plug and Play (uPnP) บนเราเตอร์ของคุณและในตัวเลือก NAS ของคุณ ถ้าทำได้ ฟังก์ชันหลักของ uPnP คือการทำให้คอมพิวเตอร์ในเครือข่ายของคุณค้นหาบริการที่เป็นประโยชน์ได้ง่าย เช่น กล่อง NAS เครื่องพิมพ์ และอื่นๆ น่าเสียดายที่ uPnP มักจะทำให้แอปในเครือข่ายของคุณเปิดการเข้าถึงผู้ใช้นอกเครือข่ายได้ง่าย (หรือแม้แต่อัตโนมัติ) ที่เป็นอันตรายโดยไม่ได้ตั้งใจ
• อ่านคำแนะนำเฉพาะของ QNAP เกี่ยวกับการรักษาความปลอดภัยการเข้าถึงกล่อง NAS จากระยะไกล หากคุณต้องการเปิดใช้งานจริงๆ เรียนรู้วิธีจำกัดการเข้าถึงระยะไกลเฉพาะผู้ใช้ที่กำหนดอย่างระมัดระวังเท่านั้น

---

---