Uma nova onda de ataques do DeadBolt Ransomware atingiu os dispositivos QNAP NAS

O mecanismo de busca na Internet Censys informou que os dispositivos QNAP foram alvo de uma nova onda de ataques de ransomware DeadBolt .

Desde janeiro, os operadores de ransomware DeadBolt têm como alvo dispositivos QNAP NAS em todo o mundo , seus operadores afirmam a disponibilidade de uma exploração de dia zero que lhes permite criptografar o conteúdo dos sistemas infectados.

Uma vez criptografado o conteúdo do dispositivo, o ransomware anexa a extensão  . deadbolt extensão ao nome dos arquivos extraídos e desfigurar a página de login do QNAP NAS para exibir a seguinte mensagem:

“AVISO: Seus arquivos foram bloqueados pelo DeadBolt”

A tela de login da QNAP sequestrada exibe uma nota de resgate exigindo o pagamento de 0,03 BTC de resgate (aproximadamente US$ 1.277) para receber uma chave de descriptografia para recuperar os arquivos.

A nota de resgate também inclui um link intitulado “mensagem importante para a QNAP”, que aponta para uma página que oferece detalhes técnicos da suposta vulnerabilidade de dia zero em dispositivos QNAP NAS por 5 BTC (aproximadamente US$ 212.000).

Os operadores de ransomware também estão oferecendo à venda o QNAP, a chave mestra de descriptografia para 50 BTC, que pode permitir que todas as vítimas dessa família de ransomware descriptografem seus arquivos.

No final de janeiro, a QNAP  forçou a atualização de firmware  para seus dispositivos Network Attached Storage (NAS) para proteger seus clientes contra o ransomware DeadBolt .

Em fevereiro, o provedor de soluções de armazenamento Asustor alertou seus clientes sobre uma onda de  ataques de ransomware Deadbolt  direcionados a seus dispositivos NAS.

Agora, o Censys informou que o número de dispositivos QNAP infectados com DeadBolt atingiu o pico em janeiro. Em 26 de janeiro, cerca de 5.000 dos 130.000 dispositivos QNAP NAS expostos online foram infectados por ransomware.

“No seu pico em 26 de janeiro de 2022,  o Censys observou 4.988 serviços infectados por Deadbolt dos 130.000 dispositivos QNAP atualmente na Internet . Se todas as vítimas tivessem pago o resgate, esse ataque renderia aos hackers cerca de US$ 4.484.700.” lê o post publicado pela Censys . Parecia que esse problema estava para trás.”

Depois que a QNAP forçou a atualização de segurança do firmware, o número de infecções caiu para menos de 300 em março.

Infelizmente, o número de infecções aumentou novamente nos últimos dias e, consultando o mecanismo de pesquisa Censys na Internet , podemos determinar que atualmente existem 1308 dispositivos QNAP NAS infectados.

No entanto, houve um aumento nas  infecções de dispositivos QNAP  nos últimos dias. Em um post publicado na segunda-feira, o Censys disse que havia 1.146 dispositivos hackeados em 19 de março. No momento da redação, em 22 de março, esse número havia subido para quase 1.500.

“Neste momento, o Censys não pode afirmar se este é um novo ataque direcionado a diferentes versões do sistema operacional QTS, ou se é o exploit original direcionado a dispositivos QNAP não corrigidos”, continua o Censys.

“A maioria desses dispositivos foi identificada executando o kernel QNAP QTS Linux versão 5.10.60. As novas infecções não parecem ter como alvo uma organização ou país específico, as infecções parecem ser divididas igualmente entre vários provedores de serviços de internet ao consumidor.”

Fonte: https://securityaffairs.co/