DeadBolt Ransomware

Eine Ransomware-Kampagne, die von neuen Bedrohungsakteuren namens DeadBolt durchgeführt wird, zielt auf die von QNAP hergestellten NAS-Geräte (Network-Attached Storage). Die Angreifer behaupten, eine Zero-Day-Schwachstelle in den Geräten entdeckt zu haben und nutzen diese aus, um eine Ransomware-Bedrohung zu verbreiten. Die Angriffe wurden erstmals am 25. Januar 2022 bemerkt. Betroffene Benutzer stellten fest, dass ihre auf QNAP-Geräten gespeicherten Dateien nicht mehr zugänglich waren und nun „.deadbolt“ als neue Dateierweiterung an ihren Namen angehängt wurde.

Anstatt Textdateien mit einer Lösegeldforderung an die kompromittierten Geräte zu übermitteln, entschieden sich die DeadBolt-Cyberkriminellen für eine andere Methode, um ihre Anweisungen zu übermitteln. Die Angreifer entführen die Anmeldeseite des QNAP-Geräts und ersetzen sie durch einen neuen Bildschirm, der ihre Lösegeldforderungsnachricht enthält. Das angegebene Lösegeld ist auf 0,03 BTC (Bitcoin) im Wert von etwa 1.100 $ zum aktuellen Wechselkurs der Kryptowährung festgelegt. Eine weitere Besonderheit der DeadBolt-Gruppe ist die Art und Weise, wie die Kommunikation mit den Opfern stattfinden soll. Im Gegensatz zu den meisten Ransomware-Betreibern, die sich auf eine E-Mail-Adresse oder eine spezielle TOR-Website als Kommunikationskanal verlassen, tauscht DeadBolt Informationen ausschließlich über Bitcoin-Transaktionen aus, die an die eindeutige Wallet-Adresse erfolgen, die jedem Opfer zur Verfügung gestellt wird. Tatsächlich sollen die Opfer nach der Überweisung des Lösegelds an die Adresse auch warten, bis die Hacker eine Transaktion durchführen. Seine Details sollen den Entschlüsselungsschlüssel enthalten, der die betroffenen Dateien entsperren könnte, indem er in den Anmeldebildschirm des kompromittierten Geräts eingegeben wird.

DeadBolt macht QNAP auch mehrere Angebote direkt. Für den Preis von 5 BTC sind die Cyberkriminellen bereit, Details über die Zero-Day-Schwachstelle mit dem Unternehmen zu teilen. Wenn QNAP bereit ist, 50 BTC (rund 1,85 Millionen US-Dollar) zu zahlen, werden die Hacker auch den Master-Entschlüsselungsschlüssel bereitstellen, von dem sie behaupten, dass er in der Lage sein wird, die Dateien aller betroffenen Benutzer zu entsperren.

QNAP hat erklärt, dass es den Angriff untersucht. Vorerst hat das Unternehmen Benutzern Möglichkeiten bereitgestellt, den Anmeldebildschirm von DeadBolt zu umgehen und den Zugriff auf die Admin-Seite über http://nas_ip:8080/cgi-bin/index.cgi und https://nas_ip/cgi-bin wiederherzustellen /index.cgi-URLs wieder herzustellen. Benutzern wird dringend empfohlen, ihre Geräte vom Internet zu trennen und den Firewall-Schutz zu aktivieren. QNAP hat auch eine Seite mit Schritten bereitgestellt, wie Benutzer ihre Daten und NAS-Geräte schützen können.