Nová skupina ransomwaru DeadBolt se zaměřuje na síťová úložiště (NAS) značky QNAP. Dle informací webu Bleeping Computer zneužívá zero-day chybu a modifikuje software zařízení tak, aby se místo přihlašovací obrazovky zobrazoval požadavek na výkupné.
Útoky začaly v úterý 25. ledna, kdy řada majitelů zařízení QNAP zjistila, že soubory uložené na diskovém poli jsou zašifrované a jejich názvy byly doplněny o příponu .deadbolt. Ransomware informuje uživatele, že se stali terčem útoku kvůli nedostatečnému zabezpečení ze strany výrobce. Zařízení QNAP byla v minulosti lukrativním cílem pro různé kmeny ransomwaru, jako jsou QLocker či Ch0raix (známý také jako QNAPCrypt).
Nový ransomware DeadBolt šifruje NASy QNAP
DeadBolt šifruje NASy QNAP
Útočníci požadují výkupné ve výši 0,03 bitcoinu (cca 25 tisíc korun), které chtějí poslat na uvedenou adresu bitcoinové peněženky, jež je pro každou oběť jedinečná. Oběť by následně měla obdržet 32místný dešifrovací klíč, umožňující dešifrování dat. Poněkud cynicky pak zní hláška „Pokud máte s tímto procesem potíže, obraťte se na odborníka na IT, který vám pomůže.“
Útočníci požadují výkupné ve výši 0,03 bitcoinu (cca 25 tisíc korun)
V tuto chvíli není potvrzeno, že zaplacení výkupného skutečně povede k získání dešifrovacího klíče, ani že uživatelé budou moci dešifrovat soubory. Bleeping Computer ví o nejméně patnácti obětech nového ransomwaru DeadBolt, přičemž postižení uživatelé pocházejí z nejrůznějších koutů světa.
Podobně, jako u většiny ransomwarových útoků na NASy QNAP, se i DeadBolt týká pouze zařízení přístupných k internetu. Protože útočníci tvrdí, že útok je veden prostřednictvím zero-day zranitelnosti, musíme všem uživatelům zařízení této značky důrazně doporučit jejich neprodlené odpojení od internetu, případně umístění za firewall.
Za 41 milionů prodají hlavní klíč
Tvůrci ransomwaru přidali na obrazovku s požadavkem na výkupné také odkaz „důležitá zpráva pro QNAP“. Po otevření se zobrazí nabídka poskytnutí veškerých podrobností o zneužívané zranitelnosti, pokud společnost QNAP zaplatí částku 5 bitcoinů (cca 4,1 milionu korun).
Za 50 bitcoinů (cca 41 milionů korun) jsou útočníci ochotni prodat hlavní dešifrovací klíč
Jak by patrně zaznělo v teleshoppingu: „To ale zdaleka není všechno!“ Za 50 bitcoinů (cca 41 milionů korun) jsou útočníci ochotni kromě podrobností o bezpečnostním nedostatku prodat hlavní dešifrovací klíč, který dokáže dešifrovat soubory všech postižených obětí.
Ransomwarový gang dále uvádí, že neexistuje žádný jiný způsob, jak jej kontaktovat než prostřednictvím plateb v bitcoinech. Tím se výrazně liší od jiných útoků tohoto typu, které obvykle poskytují nějakou formu komunikace, ať už prostřednictvím specializované webové stránky na darknetu, zabezpečeném e-mailu nebo platformy pro zasílání zpráv.