Il y a deux mois, en janvier 2022, Censys a signalé la propagation d'une nouvelle variante de ransomware baptisée Deadbolt. Ce ransomware visait une série de périphériques de stockage en réseau (NAS) destinés aux particuliers et aux petites entreprises et utilisant le système d'exploitation QNAP QTS (basé sur Linux). Ce qui rend cette variante unique, c'est sa communication avec la victime. Au lieu de crypter l'ensemble de l'appareil, ce qui le met hors ligne (et hors de portée de Censys), le ransomware se contente de crypter des répertoires de sauvegarde spécifiques et de vandaliser l'interface d'administration web en affichant un message d'information expliquant comment supprimer l'infection.
En raison de la manière dont ce ransomware communique avec la victime, Censys peut facilement trouver des appareils infectés exposés sur l'internet public par le biais de cette simple requête de recherche. Outre des informations générales sur les hôtes infectés par Deadbolt, nous avons également pu obtenir et suivre chaque adresse de portefeuille bitcoin unique utilisée comme moyen de paiement de la rançon.
Au plus fort de l'attaque, le 26 janvier 2022, Censys a observé 4 988 services infectés par Deadbolt sur les 130 000 appareils QNAP actuellement sur Internet. Si chaque victime avait payé la rançon, cette attaque aurait rapporté aux pirates environ 4 484 700 dollars. Heureusement, QNAP s'est empressé d'effectuer une mise à jour forcée du micrologiciel, censée résoudre le problème(ce qui n'est pas sans poser quelques problèmes), et au cours des mois qui ont suivi, le nombre d'infections est tombé à moins de 300 appareils. Il semblait que ce problème était derrière nous.
Puis, à la mi-février, des utilisateurs ont signalé sur Reddit que Deadbolt avait commencé à cibler les dispositifs ASUSTOR ADM. Apparemment, les mêmes indicateurs de compromission pourraient être observés dans l'attaque ASUSTOR, mais Censys n'a pas pu trouver un seul cas de cette compromission spécifique dans notre ensemble de données. À cette époque, Censys observait toujours une baisse constante du nombre d'infections QNAP.
Mais en mars 2022, Censys a été surpris de constater une augmentation soudaine des nouvelles infections ciblant les mêmes appareils QNAP QTS. Cette attaque récente a commencé lentement, avec deux nouvelles infections (soit un total de 373 infections) le 16 mars, et au cours des trois jours suivants, Censys a observé 869 services nouvellement infectés. Le 19 mars, le nombre de services infectés par Deadbolt était passé à 1 146 !
À l'exception des adresses BTC utilisées pour envoyer les rançons, l'attaque reste la même : les fichiers de sauvegarde sont cryptés, l'interface d'administration web est modifiée et les victimes sont accueillies par les messages suivants :
Pour l'instant, Censys ne peut pas dire s'il s'agit d'une nouvelle attaque ciblant différentes versions du système d'exploitation QTS, ou s'il s'agit de l'exploit original ciblant des appareils QNAP non corrigés. Mais voici ce que nous savons pour l'instant :
- La rançon pour les victimes est la même qu'auparavant, 0,030000 BTC pour une clé de décryptage (environ 1 223 USD).
- La rançon pour QNAP est la même :
- 5 BTC pour les informations relatives aux vulnérabilités (203 988 USD)
- 50 BTC pour une clé principale permettant de débloquer toutes les victimes affectées (2 039 885 USD)
- La majorité de ces appareils ont été identifiés comme fonctionnant avec la version 5.10.60 du noyau Linux QNAP QTS.
- Les nouvelles infections ne semblent pas cibler une organisation ou un pays en particulier. Les infections semblent être réparties de manière égale entre divers fournisseurs de services Internet grand public.
Censys continuera à surveiller cette nouvelle infection de Deadbolt et mettra à jour cet article en conséquence.
