BladeMan
Опытный user
- Регистрация
- 18 Май 2022
- Сообщения
- 649
- Реакции
- 55
В январе 2022 года некоторые владельцы систем хранения данных NAS (Network Attached Storage) обнаружили зашифрованные файлы с расширением .deadbolt. Тогда же издание Bleeping Computer опубликовало новость о 3600 зараженных устройствах. С этого момента сообщения об атаках на NAS-устройства программ-вымогателей семейства DeadBolt появлялись регулярно. По заявлениям самой группы, оперирующей шифровальщиком DeadBolt, они эксплуатируют выявленные ими 0-day-уязвимости в программном обеспечении NAS. С каждой выявленной уязвимостью связана новая серия атак.
Команда реагирования Group-IB провела расследование инцидента, связанного с атакой DeadBolt, и проанализировала использованный в ней сэмпл программы-вымогателя.
Ключевые выводы:
Цель
Вымогательство денежных сумм:
Жертвы
Компании малого и среднего бизнеса, учебные заведения, физические лица.
Страна пребывания жертвы для атакующих не имеет значения.
Сумма выкупа
С жертв – 0,03 - 0,05 BTC (менее $1 000)
С производителей NAS – 10-50 BTC (от $200 000 до $1 000 000)
Период активности
С января 2022 года по настоящее время
Начальный вектор атаки
Уязвимости в программном обеспечении NAS (CVE-2022-27593 и другие)
Программа-вымогатель
Кросс-платформенное семейство программ, разработанное на языке программирования Go, с использованием средств анти-анализа.
Программа может осуществлять шифрование или расшифровку данных. Для взаимодействия с жертвой программа использует веб-интерфейс самого NAS-устройства.
Особенности
Отсутствие контактов злоумышленников с жертвой. Жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа.
В рамках исследованного инцидента NAS-устройство QNAP функционировало под управлением уязвимой версии QTS 4.3.6.1446 build 20200929, вследствие чего и стало мишенью для атаки злоумышленников. Неудивительно, что спустя некоторое время сотрудники компании при обращении к веб-интерфейсу NAS-устройства увидели сообщение с требованием выкупа за разблокировку файлов, хранящихся в NAS.
осуществлять обновление программного обеспечения / прошивки NAS-устройства;
настроить двухфакторную аутентификацию (2FA) в учетной записи администратора на NAS;
включить журнал подключений (System Connection Logs) на NAS-устройстве;
настроить отправку событий журналов (системного журнала и журнала подключений) на удалённый Syslog-сервер;
устанавливать пароли в соответствии со сложной парольной политикой;
отключить учетную запись admin и создать отдельную учетную запись с правами администратора;
выключить неиспользуемые сервисы на NAS-устройстве (например: FTP-сервер, Telnet и так далее);
переназначить порты основных сервисов (SSH, FTP, HTTP/HTTPS и другие) со значений по умолчанию на другие;
отключить автоматический проброс портов в myQNAPcloud (QNAP).
Команда реагирования Group-IB провела расследование инцидента, связанного с атакой DeadBolt, и проанализировала использованный в ней сэмпл программы-вымогателя.
Ключевые выводы:
Цель
Вымогательство денежных сумм:
- у жертв за разблокировку данных, зашифрованных на NAS-устройстве;
- у производителей NAS – за техническую информацию об использованной в атаке уязвимости и предоставление мастер-ключа для расшифровки данных клиентов.
Жертвы
Компании малого и среднего бизнеса, учебные заведения, физические лица.
Страна пребывания жертвы для атакующих не имеет значения.
Сумма выкупа
С жертв – 0,03 - 0,05 BTC (менее $1 000)
С производителей NAS – 10-50 BTC (от $200 000 до $1 000 000)
Период активности
С января 2022 года по настоящее время
Начальный вектор атаки
Уязвимости в программном обеспечении NAS (CVE-2022-27593 и другие)
Программа-вымогатель
Кросс-платформенное семейство программ, разработанное на языке программирования Go, с использованием средств анти-анализа.
Программа может осуществлять шифрование или расшифровку данных. Для взаимодействия с жертвой программа использует веб-интерфейс самого NAS-устройства.
Особенности
Отсутствие контактов злоумышленников с жертвой. Жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа.
В рамках исследованного инцидента NAS-устройство QNAP функционировало под управлением уязвимой версии QTS 4.3.6.1446 build 20200929, вследствие чего и стало мишенью для атаки злоумышленников. Неудивительно, что спустя некоторое время сотрудники компании при обращении к веб-интерфейсу NAS-устройства увидели сообщение с требованием выкупа за разблокировку файлов, хранящихся в NAS.
Сообщение DeadBolt с требованием выкупа, размещенное в веб-интерфейсе NAS-устройства
Рекомендации Group-IB по настройке NAS:осуществлять обновление программного обеспечения / прошивки NAS-устройства;
настроить двухфакторную аутентификацию (2FA) в учетной записи администратора на NAS;
включить журнал подключений (System Connection Logs) на NAS-устройстве;
настроить отправку событий журналов (системного журнала и журнала подключений) на удалённый Syslog-сервер;
устанавливать пароли в соответствии со сложной парольной политикой;
отключить учетную запись admin и создать отдельную учетную запись с правами администратора;
выключить неиспользуемые сервисы на NAS-устройстве (например: FTP-сервер, Telnet и так далее);
переназначить порты основных сервисов (SSH, FTP, HTTP/HTTPS и другие) со значений по умолчанию на другие;
отключить автоматический проброс портов в myQNAPcloud (QNAP).
