Ransomware DEADBOLT volta e ataca dispositivos QNAP

Ransomware DEADBOLT volta e ataca dispositivos QNAP. Gangue DEADBOLT visa bloquear todos os acessos em sua rede.

A maioria dos ataques de ransomware contemporâneos envolve dois grupos de criminosos: uma gangue principal que cria o malware e lida com os pagamentos de extorsão e “membros” de um clã de “afiliados” que invadem ativamente as redes para realizar os ataques.

Uma vez dentro, os afiliados vagam pela rede da vítima, entendendo o terreno por um tempo, antes de embaralhar de forma abrupta e muitas vezes devastadora o máximo de computadores que puderem, o mais rápido possível, geralmente no pior momento possível. do dia.

As afiliadas normalmente embolsam 70% do dinheiro da chantagem por quaisquer ataques que realizam, enquanto os principais criminosos recebem 30%, como o iTunes, de cada ataque feito por todas as afiliadas, sem precisar invadir os computadores de ninguém.

É assim que a maioria dos ataques de malware acontece.

Mas os leitores regulares do Naked Security saberão que algumas vítimas, principalmente usuários domésticos e pequenas empresas, acabam sendo chantageadas por meio de seus NAS ou dispositivos de armazenamento conectados em rede .

Armazenamento de rede plug-and-play

As caixas NAS, como são conhecidas coloquialmente, são servidores em miniatura e pré-configurados, geralmente executando Linux, que normalmente são conectados diretamente ao seu roteador e, em seguida, atuam como servidores de arquivos simples e rápidos para todos na rede.

Não há necessidade de comprar licenças do Windows, configurar o Active Directory, aprender a gerenciar o Linux, instalar o Samba ou se familiarizar com o CIFS e outros arcanos do sistema de arquivos de rede.

As caixas NAS são armazenamento conectado à rede “plug-and-play” e são populares precisamente devido à facilidade com que você pode executá-las em sua LAN.

Como você pode imaginar, no entanto, na era atual centrada na nuvem, muitos usuários de NAS acabam abrindo seus servidores para a Internet – muitas vezes por acidente, embora às vezes de propósito – com resultados potencialmente perigosos.

Notavelmente, se um dispositivo NAS for acessível a partir da Internet pública e o software ou firmware incorporado no dispositivo NAS contiver uma vulnerabilidade explorável, você poderá estar com problemas reais.

Os bandidos não poderiam apenas fugir com seus dados, sem precisar tocar em nenhum dos laptops ou telefones celulares em sua rede, mas também modificar todos os dados em sua caixa NAS…

…incluindo reescrever diretamente todos os seus arquivos originais com equivalentes criptografados, com os bandidos sozinhos conhecendo a chave de decodificação.

Simplificando, os invasores de ransomware com acesso direto à caixa NAS em sua LAN podem inviabilizar quase toda a sua vida digital e chantageá-lo diretamente, apenas acessando seu dispositivo NAS e não tocando em mais nada na rede.

O infame ransomware DEADBOLT

É exatamente assim que os infames criminosos do ransomware DEADBOLT operam.

Eles não se incomodam em atacar computadores Windows, laptops Mac, telefones celulares ou tablets; eles simplesmente vão direto para o seu repositório principal de dados.

Os usuários provavelmente desligam ou bloqueiam a maioria dos seus dispositivos à noite, mas sua caixa NAS provavelmente funciona silenciosamente 24 horas por dia, todos os dias, assim como seu roteador.

Ao visar vulnerabilidades nos produtos do conhecido fornecedor de NAS QNAP, a gangue DEADBOLT visa bloquear todos os acessos em sua rede e, em seguida, espremê-lo por vários milhares de dólares para “recuperar” seus dados.

Após um ataque, quando você tentar baixar um arquivo da caixa do NAS ou configurá-lo por meio de sua interface da Web, poderá ver algo assim:

Em um ataque DEADBOLT típico, não há negociação via e-mail ou mensagem instantânea – os bandidos são diretos e diretos, como você vê acima.

Na verdade, você geralmente nunca consegue interagir com eles usando palavras.

Se você não tem outra maneira de recuperar seus arquivos codificados, como uma cópia de backup que não está armazenada online, e você é forçado a pagar para recuperar seus arquivos, os bandidos esperam que você simplesmente envie o dinheiro para eles. uma transação de criptomoeda.

A chegada de seus bitcoins na carteira deles serve como sua “mensagem” para eles.

Em troca, eles “pagam” a você a soma principesca de nada, com esse “reembolso” sendo a soma total de sua comunicação com você.

O “reembolso” é um pagamento no valor de $ 0, enviado simplesmente como uma forma de incluir um comentário de transação de bitcoin.

Esse comentário consiste em 16 bytes de dados aparentemente aleatórios, vistos codificados como 32 caracteres hexadecimais na captura de tela abaixo, que constituem a chave de descriptografia AES que você usará para recuperar seus dados:

variante DEADBOLT na foto acima incluiu uma provocação integrada à QNAP, oferecendo à empresa uma “chave de descriptografia de tamanho único” que funcionaria em qualquer dispositivo afetado:

Presumivelmente, os bandidos acima esperavam que a QNAP se sentisse culpada o suficiente por expor seus clientes a uma vulnerabilidade de dia zero a ponto de desembolsar BTC 50 para tirar todos do gancho , em vez de cada vítima pagar BTC 0,03 individualmente.

DEADBOLT sobe novamente

A QNAP acaba de informar que o DEADBOLT está fazendo as rondas novamente, com os bandidos agora explorando uma vulnerabilidade em um recurso QNAP NAS chamado Photo Station .

A QNAP publicou um patch e, compreensivelmente, está pedindo a seus clientes que garantam a atualização.

O que fazer?

Se você tiver um produto QNAP NAS em qualquer lugar da sua rede e estiver usando o componente de software Photo Station , você pode estar em risco.

O conselho da QNAP é:

  • Obtenha o Patch. Através do seu navegador da Web, faça login no painel de controle da QNAP no dispositivo e escolha Painel de controle > Sistema > Atualização de firmware > Atualização ao vivo > Verificar atualização . Atualize também os aplicativos em seu dispositivo NAS usando App Center > Instalar atualizações > Todos .
  • Bloqueie o encaminhamento de porta no seu roteador se você não precisar dele. Isso ajuda a evitar que o tráfego da Internet “alcançe” seu roteador para conectar e fazer login em computadores e servidores dentro de sua LAN.
  • Desative o Universal Plug and Play (uPnP) em seu roteador e nas opções de NAS, se puder. A principal função do uPnP é tornar mais fácil para os computadores em sua rede localizar serviços úteis, como caixas NAS, impressoras e muito mais. Infelizmente, o uPnP muitas vezes também torna perigosamente fácil (ou mesmo automático) para aplicativos dentro de sua rede abrirem acesso a usuários fora de sua rede por engano.
  • Leia os conselhos específicos da QNAP sobre como proteger o acesso remoto à sua caixa NAS se você realmente precisar habilitá-lo. Saiba como restringir o acesso remoto apenas a usuários cuidadosamente designados
Fonte: Sophos

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!