Hace dos meses, en enero de 2022, Censys informó sobre la propagación de una nueva variante de ransomware apodada Deadbolt. Este ransomware iba dirigido a una serie de dispositivos de almacenamiento conectados a la red (NAS) para consumidores y pequeñas empresas que ejecutaban el sistema operativo QNAP QTS (basado en Linux). Lo que hace única a esta variante en particular es su comunicación con la víctima. En lugar de cifrar todo el dispositivo, lo que lo deja fuera de línea (y fuera del alcance de Censys), el ransomware sólo cifra directorios de copia de seguridad específicos y vandaliza la interfaz de administración web con un mensaje informativo que explica cómo eliminar la infección.
Debido a la forma en que este ransomware se comunica con la víctima, Censys podía encontrar fácilmente dispositivos infectados expuestos en la Internet pública a través de esta simple consulta de búsqueda. Además de la información general sobre los hosts infectados con Deadbolt, también pudimos obtener y rastrear cada dirección única de monedero bitcoin utilizada como entrega del rescate.
En su punto álgido, el 26 de enero de 2022, Censys observó 4.988 servicios infectados por Deadbolt de los 130.000 dispositivos QNAP actualmente en Internet. Si todas las víctimas hubieran pagado el rescate, este ataque habría reportado a los piratas informáticos unos 4.484.700 dólares. Afortunadamente, QNAP entró en acción con una actualización forzada del firmware que supuestamente solucionaba el problema(que tenía sus propios problemas) y, durante los meses siguientes, las infecciones se redujeron a menos de 300 dispositivos. Parecía que este problema había quedado atrás.
A mediados de febrero, los usuarios de Reddit informaron de que Deadbolt había empezado a atacar dispositivos ASUSTOR ADM. Aparentemente, en el ataque a ASUSTOR se podían observar los mismos indicadores de compromiso, pero Censys no pudo encontrar ni un solo caso de este compromiso específico en nuestro conjunto de datos. Para entonces, Censys seguía observando un descenso constante en el número de infecciones de QNAP.
Pero en marzo de 2022, Censys se sorprendió al ver un repunte repentino de nuevas infecciones dirigidas a los mismos dispositivos QNAP QTS. Este reciente ataque comenzó lentamente, con dos nuevas infecciones (un total de 373 infecciones) el 16 de marzo, y en el transcurso de tres días, Censys observó 869 nuevos servicios infectados. Para el 19 de marzo, ¡el número de servicios infectados por Deadbolt había aumentado a 1.146!
Salvo por las direcciones BTC a las que se envían los rescates, el ataque sigue siendo el mismo: se cifran los archivos de copia de seguridad, se modifica la interfaz de administración web y se recibe a las víctimas con los siguientes mensajes:
En este momento, Censys no puede afirmar si se trata de un nuevo ataque dirigido a diferentes versiones del sistema operativo QTS, o si es el exploit original dirigido a dispositivos QNAP sin parches. Pero esto es lo que sabemos por ahora:
- El rescate para las víctimas es el mismo que antes, 0,030000 BTC por una clave de descifrado (unos 1.223 USD).
- El rescate para QNAP es el mismo:
- 5 BTC por información relacionada con las vulnerabilidades (203.988 USD)
- 50 BTC por una llave maestra para desbloquear a todas las víctimas afectadas (2.039.885 USD)
- La mayoría de estos dispositivos se identificaron ejecutando el kernel QNAP QTS Linux versión 5.10.60.
- Las nuevas infecciones no parecen estar dirigidas a una organización o país específico, las infecciones parecen estar repartidas uniformemente entre varios proveedores de servicios de Internet para consumidores.
Censys seguiremos vigilando esta nueva infección de Deadbolt y actualizaremos este post en consecuencia.
