Vor zwei Monaten, im Januar 2022, berichteteCensys über die Verbreitung einer neuen Ransomware-Variante mit der Bezeichnung Deadbolt. Diese Ransomware zielte auf eine Reihe von Network-Attached-Storage-Geräten (NAS) für Verbraucher und kleine Unternehmen ab, die mit dem (Linux-basierten) Betriebssystem QNAP QTS arbeiten. Das Besondere an dieser Variante ist ihre Kommunikation mit dem Opfer. Anstatt das gesamte Gerät zu verschlüsseln, was das Gerät effektiv offline schaltet (und dem Zugriff von Censys entzieht), zielt die Ransomware nur auf bestimmte Backup-Verzeichnisse ab, die verschlüsselt werden sollen, und verwüstet die Webadministrationsoberfläche mit einer Informationsmeldung, die erklärt, wie die Infektion entfernt werden kann.
Aufgrund der Art und Weise, wie diese Ransomware mit dem Opfer kommuniziert, konnte Censys über diese einfache Suchanfrage leicht infizierte Geräte finden, die im öffentlichen Internet ausgesetzt waren. Neben allgemeinen Informationen darüber, welche Hosts mit Deadbolt infiziert waren, konnten wir auch jede einzelne Bitcoin-Wallet-Adresse, die für die Übergabe des Lösegelds verwendet wurde, ermitteln und verfolgen.
Auf dem Höhepunkt am 26. Januar 2022 beobachteteCensys 4.988 Deadbolt-infizierte Dienste von den 130.000 QNAP-Geräten, die sich derzeit im Internet befinden. Hätte jedes Opfer das Lösegeld gezahlt, hätte dieser Angriff den Hackern etwa 4.484.700 Dollar eingebracht. Glücklicherweise reagierte QNAP mit einem erzwungenen Firmware-Update, mit dem das Problem angeblich behoben wurde(das seine eigenen Probleme mit sich brachte), und in den nächsten Monaten ging die Zahl der Infektionen auf weniger als 300 Geräte zurück. Es sah so aus, als läge das Problem hinter uns.
Mitte Februar berichteten Nutzer auf Reddit, dass Deadbolt damit begann, ASUSTOR ADM-Geräte ins Visier zu nehmen. Offensichtlich konnten die gleichen Indikatoren für eine Kompromittierung bei dem ASUSTOR-Angriff festgestellt werden, aber Censys konnte in unserem Datensatz keinen einzigen Fall dieser spezifischen Kompromittierung finden. Zu diesem Zeitpunkt beobachtete Censys immer noch einen stetigen Rückgang der Zahl der QNAP-Infektionen.
Doch im März 2022 wurde Censys von einem plötzlichen Anstieg neuer Infektionen überrascht, die auf dieselben QNAP QTS-Geräte abzielten. Dieser jüngste Angriff begann langsam, mit zwei neuen Infektionen (insgesamt 373 Infektionen) am 16. März, und im Verlauf von drei Tagen beobachtete Censys 869 neu infizierte Dienste. Bis zum 19. März war die Zahl der mit Deadbolt infizierten Dienste auf 1.146 gestiegen!
Abgesehen von den BTC-Adressen, an die das Lösegeld geschickt wird, bleibt der Angriff derselbe: Sicherungsdateien werden verschlüsselt, die Webadministrationsschnittstelle wird geändert, und die Opfer werden mit den folgenden Nachrichten begrüßt:
Zum jetzigen Zeitpunkt kann Censys nicht sagen, ob es sich um einen neuen Angriff handelt, der auf verschiedene Versionen des QTS-Betriebssystems abzielt, oder ob es sich um die ursprüngliche Sicherheitslücke handelt, die auf ungepatchte QNAP-Geräte abzielt. Aber dies ist, was wir im Moment wissen:
- Das Lösegeld für die Opfer ist dasselbe wie zuvor, 0,030000 BTC für einen Entschlüsselungsschlüssel (etwa 1.223 USD)
- Das Lösegeld für QNAP ist das gleiche:
- 5 BTC für Informationen im Zusammenhang mit den Schwachstellen (203.988 USD)
- 50 BTC für einen Hauptschlüssel zum Entsperren aller betroffenen Opfer (2.039.885 USD)
- Die meisten dieser Geräte wurden mit dem QNAP QTS Linux Kernel Version 5.10.60 identifiziert.
- Die neuen Infektionen scheinen nicht auf eine bestimmte Organisation oder ein bestimmtes Land abzuzielen, sondern verteilen sich gleichmäßig auf verschiedene Internetdienstanbieter für Verbraucher.
Censys wird diese neue Deadbolt-Infektion weiter beobachten und diesen Beitrag entsprechend aktualisieren.
