Deadbolt, der Ransomware-Angriff, der einfach nicht enden will, scheint in eine dritte Runde zu gehen. Unser Rapid Response Team hat die QNAP-Sicherheitslücke seit ihrem ersten Auftreten Ende Januar 2022 beobachtet.
Ein kurzer Überblick über QNAP Deadbolt Ransomware
QNAP ist ein Hersteller von NAS-Geräten (Network-Attached Storage). Im Januar dieses Jahres nahm eine Gruppe, die sich Deadbolt nennt, eine Reihe von QNAP-NAS-Geräten für Verbraucher und kleine Unternehmen ins Visier, die mit dem QNAP QTS (Linux-basierten) Betriebssystem arbeiten, und infizierte die Geräte mit Ransomware.
Anstatt das gesamte Gerät zu verschlüsseln, was das Gerät effektiv offline schaltet (und aus dem Einflussbereich von Censys herausnimmt), zielt die Ransomware nur auf bestimmte Backup-Verzeichnisse für die Verschlüsselung ab und verwüstet die Webadministrationsschnittstelle mit einer Informationsmeldung, die erklärt, wie man die Infektion entfernt.
Aufgrund der Art und Weise, wie diese Ransomware mit dem Opfer kommuniziert, konnte Censys über diese einfache Suchanfrage leicht infizierte Geräte finden, die im öffentlichen Internet ausgesetzt waren. Neben allgemeinen Informationen darüber, welche Hosts mit Deadbolt infiziert waren, konnten wir auch jede einzelne Bitcoin-Wallet-Adresse, die für die Übergabe des Lösegelds verwendet wurde, ermitteln und verfolgen.
Als Censys sich mit Concinnity Risks zusammengetan hat, haben wir den genauen Geldbetrag ermittelt, der in diesen Angriff involviert ist, indem wir die Bitcoin-Wallet-Transaktionen im Zusammenhang mit einer Infektion verfolgt haben; im letzten Monat kamen wir zu folgenden Ergebnissen. Beachten Sie, dass dies nicht die jüngsten Infektionen einschließt, uns aber einen guten Einblick in das Innenleben einer Ransomware-Kampagne gibt.
Weitere Informationen zu den ursprünglichen Angriffen finden Sie in unseren Beiträgen vom Januar, "The QNapping of QNAP Devices", und in unserem Beitrag über das Wiederaufleben im März, "Deadbolt Ransomware is Back".
Echtzeit-Verfolgung von Deadbolt
Aufgrund der Hartnäckigkeit dieser Bedrohung hat unser Forschungsteam ein Dashboard erstellt, das die Infektionen von Deadbolt-Geräten mit denselben Daten verfolgt, die auch in die Suche vonCensys einfließen.
Zum Zeitpunkt der Erstellung dieses Berichts, am 20. Mai, waren 469 Geräte mit Deadbolt infiziert. In den letzten sieben Tagen (11. bis 18. Mai) waren die meisten infizierten Geräte in den Vereinigten Staaten zu finden, gefolgt von Deutschland und dem Vereinigten Königreich.
Wenn wir uns den Bericht genauer ansehen, können wir die Anzahl der infizierten Geräte nach Land untersuchen, detaillierte Informationen zu den Hosts einsehen und die zugehörigen Bitcoin-Adressen sehen.
Wir werden NAS-Geräte, die mit Deadbolt-Ransomware infiziert sind, weiterhin überwachen. In der Zwischenzeit können Sie den Censys Deadbolt Ransomware-Bericht weiter unten einsehen.
Erkunden Sie das Deadbolt Dashboard
Informieren Sie sich über die neuesten Deadbolt Nachrichten
Technisches Ziel - QNAP-Geräte erneut von DeadBolt-Ransomware betroffen
IT-Profi QNAP NAS-Laufwerke zum dritten Mal in diesem Jahr von DeadBolt-Ransomware betroffen
Der Rekord - QNAP bittet Benutzer dringend um ein Update, nachdem neue Deadbolt-Ransomware-Angriffe entdeckt wurden
Besonderen Dank an Eireann Leverett @ Concinnity Risks für die Bereitstellung der BTC-Transaktionsdaten.
