DeadBolt Ransomware

Une campagne de ransomware menée par de nouveaux acteurs de la menace se faisant appeler DeadBolt cible les appareils NAS (Network-Attached Storage) fabriqués par QNAP. Les attaquants prétendent avoir découvert une vulnérabilité zero-day dans les appareils et l'exploitent pour fournir une menace de ransomware. Les attaques ont été remarquées pour la première fois le 25 janvier 2022. Les utilisateurs concernés ont remarqué que leurs fichiers stockés sur les appareils QNAP étaient devenus inaccessibles et avaient désormais « .deadbolt » ajouté à leur nom en tant que nouvelle extension de fichier.

Au lieu de livrer des fichiers texte avec une note de rançon aux appareils compromis, les cybercriminels DeadBolt ont opté pour une méthode différente pour livrer leurs instructions. Les attaquants détournent la page de connexion de l'appareil QNAP et la remplacent par un nouvel écran contenant leur message demandant une rançon. La rançon indiquée est fixée à 0,03 BTC (Bitcoin) d'une valeur d'environ 1 100 $ au taux de change actuel de la crypto-monnaie. Une autre particularité affichée par le groupe DeadBolt est la manière dont la communication avec les victimes est censée se dérouler. Contrairement à la majorité des opérateurs de ransomwares qui s'appuient sur une adresse e-mail ou un site Web TOR dédié pour agir comme canal de communication, DeadBolt échange des informations uniquement par le biais de transactions Bitcoin effectuées à l'adresse de portefeuille unique fournie à chaque victime. En effet, après avoir transféré la rançon à l'adresse, les victimes sont également censées attendre que les pirates effectuent une transaction. Ses détails sont censés contenir la clé de déchiffrement qui pourrait déverrouiller les fichiers concernés en étant entré dans l'écran de connexion de l'appareil compromis.

DeadBolt fait également plusieurs offres directement à QNAP. Pour le prix de 5 BTC, les cybercriminels sont prêts à partager des détails sur la vulnérabilité du jour zéro avec l'entreprise. Si QNAP est prêt à payer 50 BTC (environ 1,85 million de dollars), les pirates fourniront également la clé de déchiffrement principale qui, selon eux, pourra déverrouiller les fichiers de tous les utilisateurs concernés.

QNAP a déclaré qu'il enquêtait sur l'attaque. Pour l'instant, la société a fourni aux utilisateurs des moyens de contourner l'écran de connexion de DeadBolt et de restaurer l'accès à sa page d'administration via http://nas_ip:8080/cgi-bin/index.cgi et https://nas_ip/cgi-bin /index.cgi URL. Les utilisateurs sont fortement encouragés à déconnecter leurs appareils d'Internet et à activer la protection par pare-feu. QNAP a également fourni une page avec des étapes sur la façon dont les utilisateurs peuvent protéger leurs données et leurs appareils NAS.