DeadBolt Ransomware cible les appareils NAS avec une connexion Internet

La famille de rachat DeadBolt cible les périphériques de stockage en réseau (NAS) QNAP et Asustor, introduisant un système à plusieurs niveaux pour les fournisseurs et leurs victimes, et offrant une variété d’options de paiement en crypto-monnaie.

Ces facteurs différencient DeadBolt des autres familles d’actifs NAS et peuvent être plus problématiques pour ses victimes, selon l’analyse de Trend Micro cette semaine.

Selon les chercheurs, le ransomware utilise un fichier de configuration qui sélectionne dynamiquement des paramètres spécifiques en fonction du fournisseur ciblé, ce qui le rend évolutif et facilement personnalisable pour les nouvelles campagnes et les nouveaux fournisseurs.

Les systèmes de paiement permettent soit à la victime de payer la clé de déchiffrement, soit au vendeur de payer la clé de déchiffrement de base. Cette clé fonctionnerait théoriquement pour décrypter les données de toutes les victimes ; cependant, le rapport note que moins de 10% des victimes de DeadBolt ont effectivement payé une rançon.

“Bien que la clé de cryptage du vendeur n’ait pas fonctionné dans les campagnes de DeadBolt, le concept de garder à la fois la victime et la rançon du vendeur est une approche intéressante”, indique le rapport. “Il est possible que cette approche soit utilisée pour de futures attaques, d’autant plus que cette tactique nécessite peu d’efforts de la part du groupe de rançon.”

Fernando Mercês, chercheur senior chez Trend Micro, souligne que les acteurs ont également créé une application Web fonctionnelle avec un design agréable pour gérer les paiements de rançon.

“Ils connaissent également les intérieurs de QNAP et d’Asustor”, dit-il. “Dans l’ensemble, c’est un travail techniquement impressionnant.”

Mercês ajoute qu’en général, les rançongiciels ciblent les appareils NAS en raison d’une combinaison de facteurs : faible sécurité, haute disponibilité, haute valeur des données, matériel moderne et système d’exploitation standard (Linux).

“C’est comme cibler des serveurs Linux connectés à Internet avec toutes sortes d’applications installées et aucune sécurité professionnelle”, dit-il. “De plus, ces serveurs contiennent des données précieuses pour l’utilisateur. Cela semble être une cible idéale pour les ransomwares.”

Il dit que les organisations pourraient utiliser un service VPN pour protéger les organisations contre les attaques sur les périphériques NAS connectés à Internet, bien que la configuration puisse nécessiter certaines compétences techniques.

“Disons qu’il n’y a pas d’autre option que d’exposer un NAS sur Internet”, dit-il. “Dans ce cas, je recommanderais d’utiliser des mots de passe forts, 2FA, de désactiver / désinstaller tous les services et applications inutilisés, et de configurer le pare-feu devant celui-ci pour n’autoriser que les ports auxquels vous souhaitez accéder. Cela peut être fait sur le routeur, par exemple. Exemple.”

Mercês note que même si cela peut ne pas sembler efficace, il est intéressant de voir des criminels essayer de faire pression sur les vendeurs pour “résoudre le problème” pour leurs clients.

“Je pense que les criminels pensaient que les vendeurs s’inquiétaient de leur image devant les clients et pouvaient payer pour qu’ils obtiennent tous des décrypteurs gratuits”, dit-il. “Cela pourrait être intéressant si les clients commençaient à payer les vendeurs pour eux, mais cela ne s’est pas produit.”

En mai, QNAP a averti que ses appareils NAS étaient activement attaqués par le rançongiciel DeadBolt, et en janvier, un rapport de Censys.io, un fournisseur de solutions hors site, a déclaré que sur 130 000 appareils NAS QNAP qui étaient des cibles potentielles, 4 988 montraient DeadBolt prestations de service. infection.

Nicole Hoffman, analyste senior en cyber intelligence chez Digital Shadows, un fournisseur de solutions de protection contre les risques numériques, souligne que l’opération de rançon DeadBolt est intéressante pour un certain nombre de raisons, notamment le fait que les victimes n’ont à aucun moment à contacter ceux qui menacent. .

“Pour la plupart des groupes de rançon, les victimes doivent négocier avec les personnes à risque, qui se trouvent souvent dans des fuseaux horaires différents”, dit-il. “Ces interactions peuvent ajouter considérablement de temps et d’incertitude au processus de récupération, car le résultat peut dépendre du succès de l’interaction.”

Cependant, il note que, d’un point de vue technique, les attaques de ransomware de DeadBolt sont différentes des attaques de ransomware sur de nombreux appareils d’entreprise, car l’accès initial peut être exploité en exploitant les vulnérabilités des appareils NAS avec une connexion Internet.

“Il n’y a pas besoin de manipulation sociale ou de techniques de mouvement latéral pour atteindre ces objectifs”, déclare Hoffman. “Les menaçants n’ont pas besoin de beaucoup de temps, d’outils ou d’argent pour mener à bien ces attaques opportunistes.”

Leave a Comment