Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Blogs

Die unendliche Geschichte von Deadbolt

Veröffentlicht am 09.10.2022

Einführung

Deadbolt, eine Ransomware-Kampagne, die QNAP NAS-Kunden in den letzten Monaten heimgesucht hat, verzeichnete eine gleichbleibende Anzahl von Infektionen in einer ziemlich regelmäßigen Kadenz. Doch in letzter Zeit hat Censys einen massiven Anstieg der mit Deadbolt infizierten QNAP-Geräte beobachtet. Die Deadbolt-Crew weitet ihre Aktivitäten aus, und die Zahl der Opfer steigt täglich.

* Censys Deadbolt Tracking Dashboard

* Censys Search für Riegelinfektionen

Eine kurze Auffrischung über QNAP Deadbolt Ransomware

QNAP ist ein Hersteller von NAS-Geräten (Network-Attached Storage). Im Januar dieses Jahres nahm eine Gruppe, die sich Deadbolt nennt, eine Reihe von QNAP-NAS-Geräten für Verbraucher und kleine Unternehmen ins Visier, die mit dem QNAP QTS (Linux-basierten) Betriebssystem arbeiten, und infizierte die Geräte mit Ransomware.

Anstatt das gesamte Gerät zu verschlüsseln, was das Gerät effektiv offline schaltet (und aus dem Einflussbereich von Censys herausnimmt), zielt die Ransomware nur auf bestimmte Backup-Verzeichnisse für die Verschlüsselung ab und verwüstet die Webadministrationsschnittstelle mit einer Informationsmeldung, die erklärt, wie man die Infektion entfernt.

 

Aufgrund der Art und Weise, wie diese Ransomware mit dem Opfer kommuniziert, konnte Censys über diese einfache Suchanfrage leicht infizierte Geräte finden, die im öffentlichen Internet ausgesetzt waren. Neben umfassenden Informationen darüber, welche Hosts mit Deadbolt infiziert waren, konnten wir auch jede einzelne Bitcoin-Wallet-Adresse, die als Lösegeld verwendet wurde, ermitteln und verfolgen, da die für die Lösegeldübergabe verwendete BTC-Adresse in den HTML-Text eingebettet ist.

Aktuelle Nachrichten.

Am 3. September 2022 veröffentlichte QNAP eine neue Erklärung, die auf eine neu entdeckte Zero-Day-Schwachstelle hinweist, über die Hosts mit Ransomware infiziert werden können. Diese neue Schwachstelle betrifft bestimmte QNAP NAS-Geräte, auf denen Photo Station läuft, wenn sie mit dem Internet verbunden sind.

QNAP behauptet, dass diese Schwachstelle behoben wurde, verfolgt als CVE-2022-27593, und betrifft die folgenden Versionen ihres QTS-Betriebssystems:

  • QTS 5.0.1: Photo Station 6.1.2 und höher
  • QTS 5.0.0/4.5.x: Photo Station 6.0.22 und später
  • QTS 4.3.6: Photo Station 5.7.18 und später
  • QTS 4.3.3: Photo Station 5.4.15 und später
  • QTS 4.2.6: Photo Station 5.2.14 und später

Größer, Besser, Schneller, Mehr.

Die Infektionen mit Türschlössern haben nie wirklich aufgehört, aber sie waren nie so groß wie jetzt.

 

Das letzte Mal sprachen wir im Mai 2022 über die QNAP NAS infizierende Deadbolt-Ransomware. Damals stellten wir unser Deadbolt-Dashboard vor, mit dem die Community die Verbreitung dieser bösartigen Kampagne verfolgen konnte, die Tausende von QNAP-Geräten im Internet infizierte. Wenn Sie in den letzten Monaten aufmerksam waren, haben Sie vielleicht ein ständiges Auf und Ab der infizierten Geräte bemerkt, und es war eine ziemlich wilde und beängstigende Sache, die Sie beobachten konnten.

 

Am 9. Juli 2022 wurden insgesamt 2.144 Deadbolt-Infektionen im Internet beobachtet, aber bis zum 15. Juli war diese Zahl auf 7.783 gestiegen, was einem Anstieg von 5.639 Infektionen entspricht. Bis zum 27. Juli sank diese Zahl auf etwas mehr als 6.000, aber bis zum 30. Juli stieg die Zahl der Infektionen wieder auf 9.091.

Aber die Infektionswellen im August haben nichts mit dem zu tun, was zu Beginn dieses Monats geschah. Am 2. September 2022 stieg die Zahl der mit Deadbolt infizierten Hosts sprunghaft von 7.748 auf 13.802, und am 4. September waren es bereits 19.029!

Deadbolt scheint eine relativ häufige Kadenz von Neuinfektionen zu haben. Im Durchschnitt scheinen sieben bis zwölf Tage zwischen den einzelnen Kampagnen zu liegen. Nachfolgend finden Sie eine Zeitleiste der einzelnen Hosts, die zwischen dem 27. Juli und dem 7. September jeden Tag Anzeichen von Deadbolt aufwiesen. Rot hervorgehoben sind die Tage, an denen wir den stärksten Aufwärtstrend bei der Aktivität feststellen konnten.

 

Datum Anzahl der Infektionen Delta
27. Juni 2022 2,459
28. Juni 2022 2,404 -55
29. Juni 2022 2,388 -16
30. Juni 2022 2,381 -7
1. Juli 2022 2,320 -61
2. Juli 2022 2,275 -45
3. Juli 2022 2,234 -41
4. Juli 2022 2,210 -24
5. Juli 2022 2,182 -28
6. Juli 2022 2,165 -17
7. Juli 2022 2,154 -11
8. Juli 2022 2,155 1
Jul 9, 2022 2,144 -11
10. Juli 2022 3,214 1,070
Jul 11, 2022 4,716 1,502
12. Juli 2022 6,658 1,942
13. Juli 2022 7,060 402
14. Juli 2022 7,406 346
15. Juli 2022 7,783 377
16. Juli 2022 7,679 -104
17. Juli 2022 7,584 -95
18. Juli 2022 7,388 -196
19. Juli 2022 7,093 -295
20. Juli 2022 6,877 -216
21. Juli 2022 6,546 -331
22. Juli 2022 6,445 -101
23. Juli 2022 6,371 -74
24. Juli 2022 6,205 -166
25. Juli 2022 6,121 -84
26. Juli 2022 6,011 -110
27. Juli 2022 6,117 106
28. Juli 2022 7,666 1,549
29. Juli 2022 8,946 1,280
30. Juli 2022 9,091 145
31. Juli 2022 8,800 -291
1. August 2022 8,560 -240
2. August 2022 8,366 -194
3. August 2022 8,020 -346
Aug 4, 2022 7,954 -66
5. August 2022 7,900 -54
6. August 2022 8,171 271
7. August 2022 8,282 111
Aug 8, 2022 8,395 113
Aug 9, 2022 8,330 -65
Aug 10, 2022 8,835 505
11. August 2022 9,118 283
Aug 12, 2022 8,919 -199
Aug 13, 2022 8,600 -319
14. August 2022 8,578 -22
Aug 15, 2022 8,542 -36
Aug 16, 2022 8,467 -75
17. August 2022 8,371 -96
18. August 2022 8,177 -194
19. August 2022 8,647 470
20. August 2022 8,713 66
Aug 21, 2022 8,688 -25
22. August 2022 8,875 187
23. August 2022 8,753 -122
Aug 24, 2022 8,535 -218
25. August 2022 8,390 -145
26. August 2022 8,310 -80
27. August 2022 8,193 -117
Aug 28, 2022 7,948 -245
29. August 2022 7,950 2
Aug 30, 2022 7,822 -126
31. August 2022 7,826 4
1. September 2022 7,748 -78
2. September 2022 13,802 6,054
3. September 2022 18,725 4,923
4. September 2022 19,029 304
5. September 2022 17,813 -1,216
6. September 2022 16,597 -1,216
7. September 2022 15,097 -1,500

Auf dem Höhepunkt, am 4. September 2022, wurden die meisten Infektionen in den Vereinigten Staaten gefunden, mit 2.472 verschiedenen Wirten, die Anzeichen von Deadbolt aufwiesen, Deutschland auf Platz zwei mit 1.778 und Italien mit 1.383. Nachfolgend finden Sie eine Karte mit den infizierten Wirten ab diesem Datum.

Nachfolgend sind die zehn Länder und autonomen Systeme mit den meisten Deadbolt-Infektionen aufgeführt.

Land Deadbolt Infizierte Hosts
Vereinigte Staaten 2,472
Deutschland 1,778
Italien 1,383
Taiwan 1,244
Vereinigtes Königreich 1,229
Frankreich 1,155
Hongkong 1,074
Japan 1,024
Australien 724
Kanada 669

 

Autonomes System Name Autonomes System Nummer Anzahl infizierter Wirte
HINET Geschäftsgruppe Datenkommunikation 3462 1,008
DTAG-Internet-Service-Provider-Betrieb 3320 865
France Telecom - Orange 3215 643
COMCAST-7922 7922 532
HKTIMS-AP HKT Limited 4760 502
ASN-IBSNAZ 3269 480
VODANET Internationaler IP-Backbone von Vodafone 3209 432
UUNET 701 401
TNF-AS 33915 384
BT-UK-AS BTnet UK Regionales Netz 2856 371

Verfolgbarer Riegel

 

Das offizielle Censys Deadbolt Dashboard finden Sie hier.

Unser Rapid-Response-Team hat ein interaktives Dashboard zur Verfolgung von Deadbolt-Infektionen auf der ganzen Welt zusammengestellt. Derzeit gibt es drei einzelne Registerkarten mit verschiedenen Ansichten der Daten, die wir in den letzten Monaten gesammelt haben.

Auf der ersten Seite finden Sie die Gesamtzahl der infizierten Hosts und Dienste sowie eine Aufschlüsselung nach Regionen und autonomen Systemen.

Der zweite Datensatz ist eine interaktive, konfigurierbare detaillierte Aufschlüsselung jeder Infektion, einschließlich der IP-Adresse, des autonomen Systems, des Landes, des Netzwerkports, der BTC-Adresse, die für die Zahlung des Lösegelds verwendet wurde, und der Variante von Deadbolt (wir haben zwei verschiedene Varianten gefunden). Schließlich zeigen wir die Höhe des von den Opfern geforderten Lösegelds an. Diese Felder lassen sich filtern, indem Sie einfach auf einen beliebigen Teil des Dashboards klicken.

Schließlich gibt es eine Sieben-Tage-Ansicht von Deadbolt im Internet, einschließlich Diagrammen, die die Infektionen nach Ländern aufschlüsseln. Forscher können die Dropdown-Menüs verwenden, um die Länder zu filtern, an deren Analyse sie am meisten interessiert sind.

Wir werden NAS-Geräte, die mit Deadbolt-Ransomware infiziert sind, weiterhin überwachen. In der Zwischenzeit können Sie den Censys Deadbolt Ransomware-Bericht weiter unten einsehen.

Referenzen

Über den Autor

Mark Ellzey
Senior Security Researcher Alle Beiträge von Mark Ellzey
Mark Ellzey ist ein leitender Sicherheitsforscher bei Censys. Vor seiner jetzigen Tätigkeit war Mark Ellzey über 22 Jahre lang als Netzwerksicherheitsingenieur und Softwareentwickler für verschiedene Internetdienstleister und Finanzinstitute tätig.

Ähnlicher Inhalt

Zurück zu Ressourcen Hub
Lösungen für das Management von Angriffsflächen
Mehr erfahren