DEADBOLT fidye yazılımı tekrar başını kaldırıyor, QNAP cihazlarına saldırıyor

Evet, fidye yazılımı hala bir şey.

Hayır, fidye yazılımı saldırılarının tümü beklediğiniz şekilde gerçekleşmez.

Çağdaş fidye yazılımı saldırılarının çoğu iki suçlu grubunu içerir: kötü amaçlı yazılımı yaratan ve şantaj ödemelerini yöneten çekirdek bir çete ve saldırıları gerçekleştirmek için aktif olarak ağlara sızan gevşek bir "bağlı kuruluş" klanının "üyeleri".

İçeri girdikten sonra, bağlı kuruluşlar kurbanın ağında dolaşır, bir süreliğine yalanı öğrenir, ardından aniden ve genellikle yıkıcı bir şekilde olabildiğince çok sayıda bilgisayarı, olabildiğince hızlı, genellikle mümkün olan en kötü zamanda karıştırırlar. Günün.

Bağlı kuruluşlar, gerçekleştirdikleri herhangi bir saldırı için genellikle şantaj parasının %70'ini ceplerine alırken, asıl suçlular, herhangi birinin bilgisayarına girmeye gerek kalmadan, her bağlı kuruluş tarafından gerçekleştirilen her saldırının iTunes benzeri %30'unu alır.

Zaten çoğu kötü amaçlı yazılım saldırısı bu şekilde gerçekleşir.

Ancak Naked Security'nin düzenli okuyucuları, başta ev kullanıcıları ve küçük işletmeler olmak üzere bazı kurbanların sonunda NAS aracılığıyla şantaja uğradılarya da ağ bağlantılı depolama cihazlar.

Tak ve çalıştır ağ depolaması

NAS kutuları, halk arasında bilindiği şekliyle minyatür, önceden yapılandırılmış, genellikle Linux çalıştıran, genellikle doğrudan yönlendiricinize bağlanan ve ardından ağdaki herkes için basit, hızlı dosya sunucuları görevi gören sunuculardır.

Windows lisansları satın almanıza, Active Directory'yi kurmanıza, Linux'u nasıl yöneteceğinizi öğrenmenize, Samba'yı yüklemenize veya CIFS ve diğer ağ dosya sistemi arcana'sını öğrenmenize gerek yok.

NAS kutuları "tak ve çalıştır" ağa bağlı depolamadır ve onları LAN'ınızda çalıştırma kolaylığından dolayı popülerdir.

Ancak tahmin edebileceğiniz gibi, günümüzün bulut merkezli çağında, birçok NAS kullanıcısı sunucularını internete açıyor; çoğu zaman kazara, bazen de kasıtlı olarak, bu da potansiyel olarak tehlikeli sonuçlar doğuruyor.

Özellikle, bir NAS cihazına halka açık internetten erişilebiliyorsa ve NAS cihazındaki yerleşik yazılım veya donanım yazılımı, istismar edilebilir bir güvenlik açığı içeriyorsa, başınız gerçekten belada olabilir.

Crooks, ağınızdaki herhangi bir dizüstü bilgisayara veya cep telefonuna dokunmanıza gerek kalmadan kupa verilerinizi alıp kaçamaz, aynı zamanda NAS kutunuzdaki tüm verileri de değiştirebilir…

…içermek tüm orijinal dosyalarınızı şifrelenmiş eşdeğerleriyle doğrudan yeniden yazma, şifreyi çözmenin anahtarını yalnızca dolandırıcılar biliyor.

Basitçe söylemek gerekirse, LAN'ınızdaki NAS kutusuna doğrudan erişimi olan fidye yazılımı saldırganları, neredeyse tüm dijital yaşamınızı raydan çıkarabilir ve ardından yalnızca NAS cihazınıza erişerek ve ağdaki başka hiçbir şeye dokunarak size doğrudan şantaj yapabilir.

Ünlü DEADBOLT fidye yazılımı

Ünlüler tam da böyle DEADBOLT fidye yazılımı dolandırıcıları çalışırlar.

Windows bilgisayarlara, Mac dizüstü bilgisayarlara, cep telefonlarına veya tabletlere saldırmakla uğraşmazlar; doğrudan ana veri deponuza giderler.

(Geceleri muhtemelen cihazlarınızın çoğunu kapatırsınız, "uykuya geçirirsiniz" veya kilitlersiniz, ancak NAS kutunuz muhtemelen tıpkı yönlendiriciniz gibi her gün, günde 24 saat sessizce çalışır.)

DEADBOLT çetesi, tanınmış NAS satıcısı QNAP'ın ürünlerindeki güvenlik açıklarını hedef alarak, ağınızdaki diğer herkesi dijital yaşamlarının dışında tutmayı ve ardından verilerinizi "kurtarmak" için sizi birkaç bin dolara sıkıştırmayı amaçlıyor.

Bir saldırının ardından, NAS kutusundan bir dosya indirmeyi veya web arayüzü aracılığıyla yapılandırmayı denediğinizde şunun gibi bir şey görebilirsiniz:

Tipik bir DEADBOLT saldırısında, e-posta veya IM yoluyla müzakere yapılmaz; dolandırıcılar yukarıda gördüğünüz gibi açık sözlü ve doğrudandır.

Aslında genellikle kelimeler kullanarak onlarla hiçbir zaman etkileşim kuramazsınız.

Karıştırılmış dosyalarınızı kurtarmanın çevrimiçi olarak depolanmayan bir yedek kopya gibi başka bir yolu yoksa ve dosyalarınızı geri almak için ödeme yapmak zorunda kalırsanız, dolandırıcılar sizden sadece parayı onlara göndermenizi bekler. bir kripto para işlemi.

Bitcoinlerinizin cüzdanlarına ulaşması onlara “mesajınız” olarak hizmet eder.

Karşılığında, size hiçbir şeyin büyük bir kısmını "ödemezler" ve bu "geri ödeme" sizinle olan iletişimlerinin toplamıdır.

Bu "geri ödeme", yalnızca Bitcoin işlem yorumu eklemenin bir yolu olarak gönderilen 0 ABD Doları değerinde bir ödemedir.

Bu yorum, 32 ham baytı veya 16 biti (verilerinizi kurtarmak için kullanacağınız AES şifre çözme anahtarının uzunluğu) temsil eden 128 onaltılık karakter olarak kodlanmıştır:

The DEADBOLT çeşidi Yukarıdaki resimde, QNAP'a yönelik yerleşik bir alay hareketi de yer almakta olup, şirkete, etkilenen herhangi bir cihazda çalışacak "herkese uyan tek bir şifre çözme anahtarı" satma teklifinde bulunulmuştur:

Muhtemelen yukarıdaki dolandırıcılar, QNAP'in müşterilerini sıfır gün güvenlik açığına maruz bırakma konusunda yeterince suçlu hissedeceğini ve herkesi bu durumdan kurtarmak için 50 BTC (şu anda yaklaşık 1,000,000 $ [2022-09-07T16:15Z]) alacağını umuyorlardı. Her kurbanın bireysel olarak 0.3 BTC (şu anda yaklaşık 6000 dolar) ödemesi yerine.

DEADBOLT yeniden yükseliyor

QNAP az önce DEADBOLT'un olduğunu bildirdi tekrar tur atıyorumDolandırıcılar artık QNAP NAS özelliğindeki bir güvenlik açığından yararlanıyor. Fotoğraf İstasyonu.

QNAP bir yama yayınladı ve anlaşılır bir şekilde müşterisini güncellendiğinden emin olmaya çağırıyor.

Ne yapalım?

Ağınızın herhangi bir yerinde bir QNAP NAS ürününüz varsa ve Fotoğraf İstasyonu yazılım bileşeni nedeniyle risk altında olabilirsiniz.

QNAP'ler tavsiye olduğu:

• Yamayı alın. Web tarayıcınız aracılığıyla cihazdaki QNAP kontrol panelinde oturum açın ve Kumanda panosu > sistem > firmware Güncelleme > Canlı güncelleştirme > Güncellemeleri kontrol ediniz. Ayrıca NAS cihazınızdaki uygulamaları şunu kullanarak güncelleyin: Uygulama Merkezi > Güncelleştirmeleri Yükle > Türkiye.
• İhtiyacınız yoksa yönlendiricinizde bağlantı noktası iletmeyi engelleyin. Bu, LAN'ınızdaki bilgisayarlara ve sunuculara bağlanmak ve oturum açmak için internet trafiğinin yönlendiricinize "ulaşmasını" önlemeye yardımcı olur.
• Mümkünse yönlendiricinizde ve NAS seçeneklerinizde Evrensel Tak ve Çalıştır'ı (uPnP) kapatın. uPnP'nin birincil işlevi, ağınızdaki bilgisayarların NAS kutuları, yazıcılar ve daha fazlası gibi yararlı hizmetleri bulmasını kolaylaştırmaktır. Ne yazık ki, uPnP çoğu zaman ağınızdaki uygulamaların yanlışlıkla ağınız dışındaki kullanıcılara erişim açmasını tehlikeli derecede kolaylaştırır (hatta otomatik hale getirir).
• Gerçekten etkinleştirmeniz gerekiyorsa, QNAP'ın NAS kutunuza uzaktan erişimin güvenliğine ilişkin özel tavsiyesini okuyun. Uzaktan erişimi yalnızca dikkatlice belirlenmiş kullanıcılarla nasıl kısıtlayacağınızı öğrenin.

---

---