DeadBolt Ransomware
Una campaña de ransomware llevada a cabo por nuevos actores de amenazas que se hacen llamar DeadBolt tiene como objetivo los dispositivos NAS (Network-Attached Storage) fabricados por QNAP. Los atacantes afirman haber descubierto una vulnerabilidad de día cero en los dispositivos y la están explotando para generar una amenaza de ransomware. Los ataques se notaron por primera vez el 25 de enero de 2022. Los usuarios afectados notaron que sus archivos almacenados en los dispositivos QNAP se habían vuelto inaccesibles y ahora tenían '.deadbolt' agregado a sus nombres como una nueva extensión de archivo.
En lugar de entregar archivos de texto con una nota de rescate a los dispositivos comprometidos, los ciberdelincuentes de DeadBolt optaron por un método diferente para entregar sus instrucciones. Los atacantes secuestran la página de inicio de sesión del dispositivo QNAP y la sustituyen por una nueva pantalla que contiene su mensaje de rescate. El rescate indicado se establece en 0,03 BTC (Bitcoin) con un valor aproximado de $1100 al tipo de cambio actual de la criptomoneda. Otra peculiaridad que muestra el grupo DeadBolt es la forma en que se supone que se lleva a cabo la comunicación con las víctimas. A diferencia de la mayoría de los operadores de ransomware que confían en una dirección de correo electrónico o un sitio web de TOR dedicado para actuar como un canal de comunicación, DeadBolt intercambia información únicamente a través de transacciones de Bitcoin realizadas a la dirección de billetera única proporcionada a cada víctima. De hecho, después de transferir el rescate a la dirección, se supone que las víctimas también deben esperar a que los piratas informáticos realicen una transacción. Se supone que sus detalles contienen la clave de descifrado que podría desbloquear los archivos afectados al ingresarlos en la pantalla de inicio de sesión del dispositivo comprometido.
DeadBolt también hace varias ofertas directamente a QNAP. Por el precio de 5 BTC, los ciberdelincuentes están dispuestos a compartir detalles sobre la vulnerabilidad de día cero con la empresa. Si QNAP está dispuesto a pagar 50 BTC (alrededor de $1,85 millones), los piratas informáticos también proporcionarán la clave maestra de descifrado que, según afirman, podrá desbloquear los archivos de todos los usuarios afectados.
QNAP ha declarado que está investigando el ataque. Por ahora, la compañía ha proporcionado formas para que los usuarios pasen por alto la pantalla de inicio de sesión de DeadBolt y restablezcan el acceso a su página de administración a través de http://nas_ip:8080/cgi-bin/index.cgi y https://nas_ip/cgi-bin /index.cgi URL. Se recomienda encarecidamente a los usuarios que desconecten sus dispositivos de Internet y habiliten la protección de cortafuegos. QNAP también ha proporcionado una página con pasos sobre cómo los usuarios pueden proteger sus datos y dispositivos NAS.
