По словам исследователей, вымогательское ПО DeadBolt вновь появилось в новой волне атак на QNAP, начавшихся в середине марта, и сигнализирует о том, что новая угроза нацелилась на тайваньские сетевые устройства хранения данных (NAS).
Deadbolt Ransomware
Исследователи из компании Censys, которая предоставляет решения для управления поверхностью атаки, сообщили, что они наблюдали медленное нарастание числа заражений DeadBolt на устройства QNAP, начиная с 16 марта, и в тот день было зарегистрировано 373 заражения. Это число увеличилось до 1 146 устройств к 19 марта, согласно сообщению в блоге старшего исследователя безопасности Censys Марка Эллзея.
Нынешние атаки восходят к январю, когда компании пришлось выпустить незапланированное обновление для своих NAS-устройств, которое не все клиенты приняли с радостью. Обновление было призвано устранить последствия атак DeadBolt, которые при входе в систему встречали пользователей экраном группы вымогателей, фактически блокируя их доступ к устройству.
По словам Эллзея, новая волна атак происходит по той же схеме, что и январская, но большинство жертв работают с ядром QNAP QTS Linux версии 5.10.60. Это более поздняя версия, чем обновление (QTS 5.0.0.1891), распространенное среди клиентов в январе.
Тем не менее, "на данный момент Censys не может сказать, является ли это новой атакой, направленной на различные версии операционной системы QTS, или это оригинальный эксплойт, направленный на непропатченные устройства QNAP", - признал он.
Более того, новые заражения, похоже, не направлены на какую-то конкретную организацию или страну; похоже, они равномерно распределяются между абонентами различных поставщиков потребительских интернет-услуг, добавил Эллзей.
Исследователи Censys заметили последнюю волну атак на QNAP благодаря уникальному способу общения с жертвами текущего варианта вымогательского ПО DeadBolt, говорится в сообщении.
"Вместо того чтобы шифровать все устройство, что фактически выводит его из сети (и выводит из-под контроля Censys), программа-вымогатель выбирает для шифрования только определенные каталоги резервных копий и вандализирует интерфейс веб-администрирования информационным сообщением, объясняющим, как удалить инфекцию", - написал Эллзей.
Поэтому, используя простой поисковый запрос, Censys "мог легко найти зараженные устройства в открытом доступе в Интернете", говорится в сообщении.
Наряду с общей информацией о том, какие хосты были заражены DeadBolt, исследователи также получили и отследили каждый уникальный адрес кошелька Bitcoin, использовавшийся для перечисления выкупа, добавил Эллзей.
Indicators of Compromise
IPv4
- 132.147.73.87
IPv4 and Port
- 132.147.73.87:8080
MD5
- a76ecd6356f7a71e524c74abf2adec09
- 718ae69788dc752a8db46b0e43e42f13
- cfe7e21b24b50aa442d4ca4a92cd6d6c
SHA1
- 22e616aa3c3a512499968ffecd7d123fec6f5e96
- 338c16a49899ee08b5284b9bb3b2b14d6e5bdfe3
- 1fcd0db29725c731681325985ff06cb90347f0cc
SHA256
- 3e30a65e6504969c05b1bed32db2a2a592da110a7d2dbda9f064f13be5390d6c
- 444e537f86cbeeea5a4fcf94c485cc9d286de0ccd91718362cecf415bf362bcf
- 59e7573339f23c21b934fba44f04d694f67cce4f9e90982db4b6ddb3078b058c