DEADBOLT 勒索软件再次抬头,攻击 QNAP 设备 PlatoBlockchain Data Intelligence。 垂直搜索。 哎。

DEADBOLT 勒索软件再次抬头,攻击 QNAP 设备

时间戳记:7年2022月12日下午57:XNUMX

by
保罗哈普林

是的,勒索软件是 还是一件事.

不,并非所有勒索软件攻击都以您预期的方式展开。

大多数当代勒索软件攻击涉及两组犯罪分子:创建恶意软件并处理勒索付款的核心团伙,以及积极闯入网络进行攻击的松散“附属”家族的“成员”。

一旦他们进入,这些附属机构就会在受害者的网络中四处游荡,在这片土地上撒谎一段时间,然后突然并且经常破坏性地尽可能快地扰乱尽可能多的计算机,通常是在最糟糕的时间的一天。

附属公司通常会为他们进行的任何攻击收取 70% 的勒索钱,而核心犯罪分子则从每个附属公司进行的每次攻击中收取 30% 的 iTunes-ike,而无需自己闯入任何人的计算机。

无论如何,这就是大多数恶意软件攻击的发生方式。

但是 Naked Security 的普通读者会知道,一些受害者,尤其是家庭用户和小型企业,最终会得到 通过他们的 NAS 勒索网络附加存储 设备。

即插即用网络存储

众所周知,NAS 盒是微型、预配置的服务器,通常运行 Linux,通常直接插入路由器,然后充当网络上每个人的简单、快速的文件服务器。

无需购买 Windows 许可证、设置 Active Directory、学习如何管理 Linux、安装 Samba 或掌握 CIFS 和其他网络文件系统奥秘。

NAS 盒是“即插即用”的网络附加存储,它之所以受欢迎,正是因为您可以很容易地让它们在 LAN 上运行。

然而,正如您可以想象的那样,在当今以云为中心的时代,许多 NAS 用户最终将他们的服务器开放到互联网上——通常是偶然的,但有时是故意的——这会带来潜在的危险结果。

值得注意的是,如果可以从公共互联网访问 NAS 设备,并且 NAS 设备上的嵌入式软件或固件包含可利用的漏洞,那么您可能会遇到真正的麻烦。

骗子不仅可以拿走您的奖杯数据,而无需触摸您网络上的任何笔记本电脑或手机,还可以修改您 NAS 盒子上的所有数据……

…包含 使用加密的等价物直接重写所有原始文件,只有骗子知道解密的关键。

简而言之,勒索软件攻击者可以直接访问您 LAN 上的 NAS 盒,几乎可以破坏您的所有数字生活,然后直接敲诈您,只需访问您的 NAS 设备,而无需触及网络上的任何其他内容。

臭名昭著的 DEADBOLT 勒索软件

这正是臭名昭著的 DEADBOLT 勒索软件骗子 操作。

他们不会费心攻击 Windows 电脑、Mac 笔记本电脑、手机或平板电脑; 他们只是直接进入您的主要数据存储库。

(您可能会在晚上关闭、“睡眠”或锁定大部分设备,但您的​​ NAS 盒可能每天 24 小时安静地运行,就像您的路由器一样。)

通过针对知名 NAS 供应商 QNAP 产品中的漏洞,DEADBOLT 团伙旨在将您网络上的其他所有人锁定在他们的数字生活之外,然后榨取您数千美元以“恢复”您的数据。

攻击后,当您下次尝试从 NAS 盒下载文件或通过其 Web 界面对其进行配置时,您可能会看到如下内容:

在典型的 DEADBOLT 攻击中,没有通过电子邮件或 IM 进行协商——如您在上面看到的,骗子直率而直接。

实际上,您通常根本无法使用文字与他们互动。

如果您没有任何其他方法来恢复您的乱码文件,例如未在线存储的备份副本,并且您被迫支付费用以恢复您的文件,那么骗子希望您只需将钱寄给他们加密货币交易。

你的比特币到达他们的钱包就是你给他们的“信息”。

作为回报,他们“付给”你一笔不菲的钱,这笔“退款”是他们与你沟通的总和。

这个“退款”是一笔价值 0 美元的付款,只是作为一种包含比特币交易评论的方式提交的。

该注释被编码为 32 个十六进制字符,代表 16 个原始字节或 128 位 - 您将用于恢复数据的 AES 解密密钥的长度:

DEADBOLT 勒索软件再次抬头,攻击 QNAP 设备 PlatoBlockchain Data Intelligence。 垂直搜索。 哎。

死栓变体 上图甚至包括对 QNAP 的内置嘲讽,提议向公司出售适用于任何受影响设备的“一刀切的解密密钥”:

DEADBOLT 勒索软件再次抬头,攻击 QNAP 设备 PlatoBlockchain Data Intelligence。 垂直搜索。 哎。

据推测,上面的骗子希望 QNAP 会对将其客户暴露于零日漏洞感到内疚,以至于它会支付 BTC 50(目前约为 1,000,000 美元 [2022-09-07T16:15Z])以让每个人都摆脱困境,而不是每个受害者单独支付 0.3 比特币(现在约为 6000 美元)。

DEADBOLT 再次上升

QNAP 刚刚报道 DEADBOLT 是 再次巡视,骗子现在利用 QNAP NAS 功能中的一个漏洞,称为 照片站.

QNAP 已经发布了一个补丁,并且可以理解地敦促其客户确保他们已经更新。

怎么办呢?

如果您在网络上的任何地方都有 QNAP NAS 产品,并且您正在使用 照片站 软件组件,您可能会面临风险。

威联通的 忠告 是:

  • 获取补丁。 通过您的网络浏览器,登录到设备上的 QNAP 控制面板并选择 控制面板 > 系统 > 固件更新 > 实时更新 > 检查更新. 还使用更新 NAS 设备上的应用程序 应用中心 > 安装更新 > 所有类型.
  • 如果您不需要,请在路由器中阻止端口转发。 这有助于防止来自 Internet 的流量“通过”您的路由器,以便连接和登录 LAN 内的计算机和服务器。
  • 如果可以,请关闭路由器和 NAS 选项中的通用即插即用 (uPnP)。 uPnP 的主要功能是使网络上的计算机能够轻松找到有用的服务,例如 NAS 盒、打印机等。 不幸的是,uPnP 还经常使网络内的应用程序错误地向网络外的用户开放访问权限变得非常容易(甚至是自动的)。
  • 如果您确实需要启用它,请阅读 QNAP 关于保护远程访问 NAS 盒的具体建议。 了解如何将远程访问仅限于精心指定的用户。

DEADBOLT 勒索软件再次抬头,攻击 QNAP 设备 PlatoBlockchain Data Intelligence。 垂直搜索。 哎。

时间戳记:

更多来自 裸体安全