Skip to content
Analyst Insight : Téléchargez votre exemplaire du rapport Gartner® Hype Cycle™ for Security Operations, 2024 dès aujourd'hui ! | Obtenir le rapport
Blogs

Traquer le ransomware Deadbolt dans le monde entier

Deadbolt, l'attaque par ransomware qui ne veut pas s'arrêter, semble être de retour pour un troisième round. Notre équipe d'intervention rapide surveille la vulnérabilité de QNAP depuis son apparition fin janvier 2022.

Petite mise au point sur le ransomware QNAP Deadbolt

QNAP est un fabricant de dispositifs de stockage en réseau (NAS). En janvier de cette année, un groupe se faisant appeler Deadbolt a ciblé une série de périphériques NAS QNAP destinés aux particuliers et aux petites entreprises et fonctionnant avec le système d'exploitation QNAP QTS (basé sur Linux), en les infectant avec un ransomware.

Au lieu de crypter l'ensemble de l'appareil, ce qui le met effectivement hors ligne (et hors de portée de Censys), le ransomware ne cible que des répertoires de sauvegarde spécifiques pour le cryptage et vandalise l'interface d'administration web avec un message d'information expliquant comment supprimer l'infection.

Avertissement concernant le ransomware Deadbolt

En raison de la manière dont ce ransomware communique avec la victime, Censys peut facilement trouver des appareils infectés exposés sur l'internet public par le biais de cette simple requête de recherche. Outre des informations générales sur les hôtes infectés par Deadbolt, nous avons également pu obtenir et suivre chaque adresse de portefeuille bitcoin unique utilisée comme moyen de paiement de la rançon.

Lorsque Censys a fait équipe avec Concinnity Risks, nous avons déterminé le montant exact de l'argent impliqué dans cette attaque en suivant les transactions du portefeuille Bitcoin associées à une infection ; le mois dernier, nous avons conclu ce qui suit. Il est à noter que ces chiffres ne tiennent pas compte des infections les plus récentes, mais qu'ils nous donnent un bon aperçu du fonctionnement interne d'une campagne de ransomware.

Pêne dormant nombre de rançons payées

Pour en savoir plus sur les premières attaques, vous pouvez consulter nos articles de janvier, "The QNapping of QNAP Devices", et notre article sur la résurgence en mars, "Deadbolt Ransomware is Back" (Le rançongiciel Deadbolt est de retour).

Suivi en temps réel du pêne dormant

En raison de la persistance de cette menace, notre équipe de recherche a créé un tableau de bord qui suit les infections des dispositifs Deadbolt en utilisant les mêmes données que celles qui alimentent la recherche surCensys .

Censys Rapport sur le ransomware Deadbolt

À l'heure où nous écrivons ces lignes, le 20 mai, Deadbolt a infecté environ 469 appareils. Au cours des sept derniers jours (du 11 au 18 mai), la plupart des appareils infectés se trouvaient aux États-Unis, suivis de l'Allemagne et du Royaume-Uni.

Censys Traqueur du ransomware Deadbolt

En approfondissant le rapport, nous pouvons examiner le nombre d'appareils infectés par pays, obtenir des informations détaillées sur les hôtes et voir les adresses Bitcoin associées.

Censys Recherche de Deadbolt Ransomware

Nous continuerons à surveiller les périphériques NAS infectés par le ransomware Deadbolt. En attendant, vous pouvez commencer à explorer le rapport sur le ransomware DeadboltCensys ci-dessous.

Explorer le tableau de bord de Deadbolt

 

Dernières nouvelles de Deadbolt

Cible Tech - Les appareils QNAP à nouveau touchés par le ransomware DeadBolt

IT Pro - Les disques NAS de QNAP ciblés par le ransomware DeadBolt pour la troisième fois cette année

The Record - (en anglais) QNAP demande aux utilisateurs de se mettre à jour après la découverte de nouvelles attaques du ransomware Deadbolt

 

 


Un grand merci à Eireann Leverett @ Concinnity Risks pour avoir fourni les informations sur les transactions en BTC. 

Solutions de gestion de la surface d'attaque
En savoir plus