DeadBolt fidye yazılımı, QNAP depolama alanında bir deneme daha yaptı • The Register


QNAP, kullanıcıları ağa bağlı depolama (NAS) cihazlarına yönelik başka bir DeadBolt fidye yazılımı saldırısı dalgası hakkında uyarıyor ve müşterileri cihazlarının QTS veya QuTS hero işletim sistemlerini en son sürümlere güncellemeye çağırdı.

En son salgın – bir Cuma günü detaylandırıldı danışma – DeadBolt çetesinin bu yıl satıcının kullanıcılarına karşı en az dördüncü kampanyası. QNAP yetkililerine göre, bu özel çalıştırma, muhtemelen bir tür istismar edilebilir zayıflığa sahip olan, Linux tabanlı QTS 4.x’in eski sürümlerini çalıştıran NAS cihazlarındaki dosyaları şifreliyor.

Daha önceki saldırılar Türkiye’de gerçekleşti. OcakMart ve Mayıs.

Tayvan merkezli QNAP, NAS sistemi “zaten güvenliği ihlal edilmiş olan işletmelere, bitcoin adresini tutmak için fidye notunun ekran görüntüsünü almalarını, ardından en son ürün yazılımı sürümüne yükseltmelerini ve yerleşik Kötü Amaçlı Yazılım Temizleme uygulamasının fidye notunu otomatik olarak karantinaya almasını önerdi. hangi giriş sayfasını kaçırır.”

Saldırganlar tarafından verilen bir şifre çözme anahtarını girmek isterlerse, ancak bellenimi yükselttikten sonra fidye notunu bulamıyorlarsa, QNAP Yardımı ile iletişime geçmelidirler.

DeadBolt’un arkasındaki siber suçlular öncelikle NAS cihazlarını hedef alıyor. Siber güvenlik firması Trend Micro ile analistler, Şubat ayında grup, sistem üreticisi Asus’un bir yan kuruluşu olan Asustor’dan NAS cihazlarına saldırsa da, QNAP sistemleri ana hedeflerdir.

Trend Micro, Ocak ayında yazdığı bir yazıda, QNAP ve müşterileri, siber suçluların NAS’a artan ilgisinin örnekleridir. bildiri. Analistler, işletmelerin sürekli bağlantı, iş akışı sürekliliği ve verilere erişim için Nesnelerin İnterneti’ne (IoT) daha fazla güvendiğini söyledi.

“Siber suçlular bu bağımlılığı fark ettiler ve artık bilinen araçlarını ve rutinlerini ağa bağlı depolama (NAS) cihazlarını hedef listelerine dahil edecek şekilde düzenli olarak güncelliyorlar ve kullanıcıların her ikisinde de dosyaları depolamak ve yedeklemek için bu cihazlara güvendiklerini çok iyi biliyorlar. modern evler ve işletmeler” yazdılar. “Daha da önemlisi, siber suçlular bu araçların değerli bilgiler içerdiğinin ve yalnızca minimum güvenlik önlemlerine sahip olduğunun farkındalar.”

Bilinen 778’den istismar edilen güvenlik açıkları ABD hükümetinin Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından listelenen, sekizi NAS cihazlarıyla ilgili ve 10’u QNAP’ı içeriyor.

En düşük asılı meyve

Siber güvenlik sağlayıcısı Viakoo’nun CEO’su Bud Broomhead şunları söyledi: Kayıt QNAP ve diğer satıcılardan gelen NAS diskleri genellikle bir şirketin BT ekiplerinin dışında yönetilir ve bu da onları çekici hedefler haline getirir.

Suçlular, güvenlik için düzgün bir şekilde kurulmamış veya BT tarafından yönetilmemiştir – bu nedenle güvenlik yamalarının uygulanması yavaş olma eğilimindedir – ve kurumsal BT ve güvenlik ekipleri tarafından esasen görünmez olmaları gibi bir dizi nedenden dolayı NAS disklerine odaklanır. uygunluktan düştüklerinde denetlenir veya görülür.

Broomhead, “QNAP cihazları, stratejisi çok sayıda kurbandan az miktarda para istemek olan siber suçlular için çok çekici, ancak birkaç kurbandan büyük miktarlar isteniyor” dedi Broomhead, düşük miktarın “fidye olarak istendiğini” de sözlerine ekledi. birçok cihaz operatörünün BT veya güvenlik ekiplerini dahil etmek yerine ödemeyi seçeceği bir düzeyde.”

Buna ek olarak, “fidye yazılımları veri hırsızlığına doğru kaymaya başlıyor, çünkü siber suçlular hem fidye ödemesinden hem de verilerin satışından kazanç elde edebiliyor. Fidye yazılımlarının veri hırsızlığına doğru genişletilmesine geçişle birlikte NAS cihazlarına yönelik tehditler artacak, “dedi.

Şifreleme sağlayıcısı Theon Technology’nin CEO’su Scott Bledsoe, “Herhangi bir NAS cihazı, önemli miktarda iş açısından kritik veri depolamak için kullanıldığından, fidye yazılımları için büyük bir hedeftir,” dedi. Kayıt. “Şu anda dağıtılan çok sayıda QNAP NAS cihazı göz önüne alındığında, Deadbolt fidye yazılımı, saldırganlar tarafından kâr amacıyla çok çeşitli kuruluşları hedeflemek için kullanılabilir.”

Bir saldırı yüzeyi yönetim firması olan Censys, Ocak saldırısında 130.000 potansiyel çevrimiçi QNAP NAS cihazından 4.988’inin DeadBolt tarafından enfekte olma belirtileri gösterdiğini ve sayının 1.146’ya ulaştığını söyledi. Mart salgını. Trend Micro analistleri, bildiri Bu ayın başlarında, DeadBolt bulaşmış cihazların sayısının yüksek göründüğünü söyledi.

DeadBolt, diğer NAS odaklı fidye yazılımlarından yalnızca hedeflenen kurbanların sayısıyla değil, aynı zamanda birden fazla ödeme seçeneği sunması da dahil olmak üzere bazı tekniklerinde farklıdır – biri kullanıcının şifreli belgelerini geri yüklemesi için ve ikisi QNAP için. Yani, koddan ve şifreleme yönteminden böyle bir anahtarın hiçbir şekilde çalışmadığı anlaşılsa da, üretici teorik olarak bir ana anahtar kullanarak insanların dosyalarının kilidini açmak için fidye ödeyebilirdi.

Trend, “Analizimize dayanarak, dosyaların şifrelenme şekli nedeniyle satıcıya sağlanan seçeneklerin çalışmasının mümkün olduğuna dair herhangi bir kanıt bulamadık” diyerek saldırganların verileri şifrelemek için AES-128 kullandığını da sözlerine ekledi.

“Aslında bu, satıcılar kendilerine sağlanan fidye miktarlarından herhangi birini öderse, etkilenen kullanıcılar adına tüm dosyaların kilidini açmak için bir ana anahtar alamayacakları anlamına geliyor.”

DeadBolt saldırganları, bireysel kurbanların dosyalarının şifresini çözmek için bir anahtar için .03 bitcoin veya yaklaşık 1.160 dolar ödemesini talep ediyor. Satıcılar, biri cihazlara bulaşmak için kullanılan istismar hakkında bilgi için ve diğeri yukarıda belirtilen pratik olmayan ana anahtar için olmak üzere iki seçeneğe sahiptir. İstismar bilgisi için fidye, beş bitcoin veya yaklaşık 193.000 dolardan başlıyor. Ana şifre çözme anahtarının maliyeti 50 bitcoin veya 1 milyon dolardan fazladır.

Alışılmadık bir başka özellik de DeadBolt sapanların ödeme alma şeklidir. Çoğu fidye yazılımı ailesi, kurbanların verilerini geri almak için atması gereken karmaşık adımları içerir. Ancak DeadBolt, fidye ödendikten sonra verilerin şifresini çözebilen bir web kullanıcı arayüzü ile birlikte gelir. Blok zinciri işlemi, ödeme yapıldıktan sonra şifre çözme anahtarını otomatik olarak kurbana gönderir.

Team Trend Micro, “Bu, kurbanların fidye yazılımı aktörleriyle iletişim kurmasına gerek olmadığı benzersiz bir süreçtir.” “Aslında, bunu yapmanın bir yolu yok.”

DeadBolt tarafından kullanılan yoğun şekilde otomatikleştirilmiş yaklaşım, diğer fidye yazılımı çetelerinin öğrenebileceği bir şey olduğunu yazdılar.

“Büyük oyun avcılığına ve tek seferlik ödemelere odaklanan fidye yazılımı ailelerine çok fazla ilgi var, ancak DeadBolt gibi püskürt ve dua et türlerine odaklanan fidye yazılımı ailelerinin de bunu yapabileceğini akılda tutmak önemlidir. ekip, son kullanıcılara ve satıcılara çok fazla zarar bırakıyor” dedi.

Kendilerini korumak için, kuruluşun en azından NAS cihazlarını güncel tutması ve halka açık internet bağlantısının kesilmesi gerekir – eğer uzaktan erişilebilir olması gerekiyorsa, güvenli bir VPN kullanın – güçlü parolalar ve iki faktörlü kimlik doğrulama, güvenli bağlantılar ve bağlantı noktaları kullanın ve kullanılmayanları kapatın ve güncel olmayan hizmetler. ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/06/18/deadlbolt-ransomware-qnap-nas/

Yorum yapın