Deadbolt, l'attaque par ransomware qui ne veut pas s'arrêter, semble être de retour pour un troisième round. Notre équipe d'intervention rapide surveille la vulnérabilité de QNAP depuis son apparition fin janvier 2022.
Petite mise au point sur le ransomware QNAP Deadbolt
QNAP est un fabricant de dispositifs de stockage en réseau (NAS). En janvier de cette année, un groupe se faisant appeler Deadbolt a ciblé une série de périphériques NAS QNAP destinés aux particuliers et aux petites entreprises et fonctionnant avec le système d'exploitation QNAP QTS (basé sur Linux), en les infectant avec un ransomware.
Au lieu de crypter l'ensemble de l'appareil, ce qui le met effectivement hors ligne (et hors de portée de Censys), le ransomware ne cible que des répertoires de sauvegarde spécifiques pour le cryptage et vandalise l'interface d'administration web avec un message d'information expliquant comment supprimer l'infection.
En raison de la manière dont ce ransomware communique avec la victime, Censys peut facilement trouver des appareils infectés exposés sur l'internet public par le biais de cette simple requête de recherche. Outre des informations générales sur les hôtes infectés par Deadbolt, nous avons également pu obtenir et suivre chaque adresse de portefeuille bitcoin unique utilisée comme moyen de paiement de la rançon.
Lorsque Censys a fait équipe avec Concinnity Risks, nous avons déterminé le montant exact de l'argent impliqué dans cette attaque en suivant les transactions du portefeuille Bitcoin associées à une infection ; le mois dernier, nous avons conclu ce qui suit. Il est à noter que ces chiffres ne tiennent pas compte des infections les plus récentes, mais qu'ils nous donnent un bon aperçu du fonctionnement interne d'une campagne de ransomware.
Pour en savoir plus sur les premières attaques, vous pouvez consulter nos articles de janvier, "The QNapping of QNAP Devices", et notre article sur la résurgence en mars, "Deadbolt Ransomware is Back" (Le rançongiciel Deadbolt est de retour).
Suivi en temps réel du pêne dormant
En raison de la persistance de cette menace, notre équipe de recherche a créé un tableau de bord qui suit les infections des dispositifs Deadbolt en utilisant les mêmes données que celles qui alimentent la recherche surCensys .
À l'heure où nous écrivons ces lignes, le 20 mai, Deadbolt a infecté environ 469 appareils. Au cours des sept derniers jours (du 11 au 18 mai), la plupart des appareils infectés se trouvaient aux États-Unis, suivis de l'Allemagne et du Royaume-Uni.
En approfondissant le rapport, nous pouvons examiner le nombre d'appareils infectés par pays, obtenir des informations détaillées sur les hôtes et voir les adresses Bitcoin associées.
Nous continuerons à surveiller les périphériques NAS infectés par le ransomware Deadbolt. En attendant, vous pouvez commencer à explorer le rapport sur le ransomware DeadboltCensys ci-dessous.
Explorer le tableau de bord de Deadbolt
Dernières nouvelles de Deadbolt
Cible Tech - Les appareils QNAP à nouveau touchés par le ransomware DeadBolt
IT Pro - Les disques NAS de QNAP ciblés par le ransomware DeadBolt pour la troisième fois cette année
The Record - (en anglais) QNAP demande aux utilisateurs de se mettre à jour après la découverte de nouvelles attaques du ransomware Deadbolt
Un grand merci à Eireann Leverett @ Concinnity Risks pour avoir fourni les informations sur les transactions en BTC.