Deadbolt, el ataque de ransomware que no cesa, parece haber vuelto para una tercera ronda. Nuestro equipo de respuesta rápida ha estado vigilando la vulnerabilidad de QNAP desde que apareció por primera vez a finales de enero de 2022.
Una actualización rápida sobre el ransomware Deadbolt de QNAP
QNAP es un fabricante de dispositivos de almacenamiento en red (NAS). En enero de este año, un grupo autodenominado Deadbolt atacó una serie de dispositivos NAS de QNAP fabricados para consumidores y pequeñas empresas que ejecutan el sistema operativo QNAP QTS (basado en Linux), infectando los dispositivos con ransomware.
En lugar de cifrar todo el dispositivo, lo que lo deja fuera de línea (y fuera del alcance de Censys), el ransomware sólo cifra directorios de copia de seguridad específicos y vandaliza la interfaz de administración web con un mensaje informativo que explica cómo eliminar la infección.
Debido a la forma en que este ransomware se comunica con la víctima, Censys podía encontrar fácilmente dispositivos infectados expuestos en la Internet pública a través de esta simple consulta de búsqueda. Además de la información general sobre los hosts infectados con Deadbolt, también pudimos obtener y rastrear cada dirección única de monedero bitcoin utilizada como entrega del rescate.
Cuando Censys se asoció con Concinnity Risks, determinamos la cantidad exacta de dinero implicada en este ataque rastreando las transacciones de monederos Bitcoin asociadas a una infección; el mes pasado, concluimos lo siguiente. Tenga en cuenta que esto no incluye el conjunto más reciente de infecciones, pero nos da una buena idea del funcionamiento interno de una campaña de ransomware.
Para más información sobre los ataques originales, puedes consultar nuestros posts de enero, "El QNapping de los dispositivos QNAP", y nuestra entrada sobre el resurgimiento en marzo, "Vuelve el ransomware Deadbolt".
Seguimiento en tiempo real del cerrojo
Debido a la persistencia de esta amenaza, nuestro equipo de investigación ha creado un panel que rastrea las infecciones de los dispositivos Deadbolt utilizando los mismos datos que alimentan la búsqueda enCensys .
En el momento de escribir este artículo, el 20 de mayo, Deadbolt había infectado unos 469 dispositivos. En los últimos siete días (del 11 al 18 de mayo), la mayoría de los dispositivos infectados se encontraban en Estados Unidos, seguidos de Alemania y Reino Unido.
Profundizando en el informe, podemos examinar el número de dispositivos infectados por país, ver información detallada sobre los hosts y consultar las direcciones Bitcoin asociadas.
Seguiremos vigilando los dispositivos NAS infectados con el ransomware Deadbolt. Mientras tanto, puede empezar a explorar el informe sobre el ransomware Deadbolt enCensys .
Explorar el panel de control de Deadbolt
Últimas noticias sobre Deadbolt
Objetivo tecnológico - El ransomware DeadBolt vuelve a afectar a los dispositivos QNAP
IT Pro - Las unidades NAS de QNAP, objetivo del ransomware DeadBolt por tercera vez este año
The Record - QNAP insta a los usuarios a actualizarse tras descubrirse nuevos ataques del ransomware Deadbolt
Un agradecimiento especial a Eireann Leverett @ Concinnity Risks por proporcionar la información de la transacción BTC.
