DeadBoltランサムウェア

DeadBoltと名乗る新しい脅威アクターによって実行されたランサムウェアキャンペーンは、QNAPによって製造されたNAS（ネットワーク接続ストレージ）デバイスを対象としています。攻撃者は、デバイスにゼロデイ脆弱性を発見し、それを悪用してランサムウェアの脅威を提供していると主張しています。攻撃は2022年1月25日に最初に通知されました。影響を受けるユーザーは、QNAPデバイスに保存されているファイルにアクセスできなくなり、新しいファイル拡張子として名前に「.deadbolt」が追加されていることに気付きました。

DeadBoltサイバー犯罪者は、身代金メモ付きのテキストファイルを侵害されたデバイスに配信する代わりに、別の方法で指示を配信することを選択しました。攻撃者はQNAPデバイスのログインページを乗っ取り、身代金を要求するメッセージを含む新しい画面に置き換えます。記載されている身代金は、暗号通貨の現在の為替レートで約$ 1,100に相当する0.03BTC（ビットコイン）に設定されています。 DeadBoltグループが示すもう1つの特徴は、被害者とのコミュニケーションが行われることになっている方法です。通信チャネルとして機能するために電子メールアドレスまたは専用のTORWebサイトに依存する大多数のランサムウェアオペレーターとは異なり、DeadBoltは、各被害者に提供された一意のウォレットアドレスに対して行われたビットコイントランザクションのみを介して情報を交換します。実際、身代金を住所に送金した後、被害者はハッカーが取引を行うのを待つことになっています。その詳細には、侵入先のデバイスのログイン画面に入力することで影響を受けるファイルのロックを解除できる復号化キーが含まれているはずです。

DeadBoltは、QNAPに直接いくつかのオファーも行います。 5 BTCの価格で、サイバー犯罪者はゼロデイ脆弱性に関する詳細を会社と共有する用意があります。 QNAPが50BTC（約185万ドル）を支払う意思がある場合、ハッカーは、影響を受けるすべてのユーザーのファイルのロックを解除できると主張するマスター復号化キーも提供します。

QNAPは、攻撃を調査していると述べています。今のところ、同社はユーザーがDeadBoltのログイン画面をバイパスし、http：// nas_ip：8080 / cgi-bin / index.cgiおよびhttps：// nas_ip / cgi-binを介して管理ページへのアクセスを復元する方法を提供しています。 /index.cgiのURL。ユーザーは、デバイスをインターネットから切断し、ファイアウォール保護を有効にすることを強くお勧めします。 QNAPには、ユーザーがデータとNASデバイスを保護する方法の手順が記載されたページも用意されています。