Due mesi fa, nel gennaio del 2022, Censys, società leader di sicurezza informatica, aveva riferito della diffusione di una nuova variante di ransomware soprannominata Deadbolt, che aveva preso di mira una serie di dispositivi di archiviazione collegati alla rete (NAS) per consumatori e piccole imprese che eseguono il sistema operativo QNAP QTS basato su Linux.
Ciò che rende unico questo ransomware è la sua comunicazione con la vittima ossia, invece di crittografare l’intero dispositivo (che porta effettivamente il dispositivo offline e fuori dalla portata di Censys), il Deadbolt prende di mira solo directory di backup specifiche per la crittografia e vandalizza l’interfaccia di amministrazione web con un messaggio informativo su come rimuovere l’infezione.
“A causa del modo in cui questo ransomware comunica con la vittima, Censys potrebbe facilmente trovare i dispositivi infetti esposti su Internet pubblico tramite questa semplice query di ricerca. Oltre alle informazioni generali su quali host sono stati infettati da Deadbolt, potremmo anche ottenere e tracciare ogni indirizzo univoco del portafoglio bitcoin utilizzato come riscatto”.
Il 26 gennaio 2022, Censys ha poi osservato 4.988 servizi infetti da Deadbolt sui 130.000 dispositivi QNAP attualmente su Internet e, successivamente al relativo aggiornamento, una diminuzione delle infezioni a meno di 300 dispositivi.
“Se ogni vittima avesse pagato il riscatto, questo attacco avrebbe fruttato agli hacker circa $ 4.484.700. Fortunatamente, QNAP è entrato in azione con un aggiornamento forzato del firmware che avrebbe risolto il problema (che aveva una propria serie di problemi) e nei mesi successivi le infezioni sono diminuite. Sembrava che questo problema fosse alle nostre spalle”.
A metà febbraio, gli utenti hanno segnalato su Reddit che Deadbolt aveva iniziato a prendere di mira i dispositivi ASUSTOR ADM.
Nel frattempo, Censys stava ancora osservando un costante calo del numero di infezioni QNAP ma a marzo 2022, la società ha rilevato un improvviso aumento di nuove infezioni che colpiscono gli stessi dispositivi QNAP QTS, ossia 1.146 infezioni.
“Questo recente attacco è iniziato lentamente, con due nuove infezioni (per un totale di 373 infezioni) il 16 marzo e nel corso di tre giorni Censys ha osservato 869 nuovi servizi infetti. Entro il 19 marzo, il numero di servizi infetti da Deadbolt era salito a 1.146!”.
Gli esperti spiegano che, fatta eccezione per gli indirizzi BTC utilizzati per inviare i riscatti, l’attacco è sempre lo stesso: i file di backup vengono crittografati, l’interfaccia di amministrazione web viene modificata e le vittime vengono accolte con i relativi messaggi informativi.
Censys, al momento, non è in grado di stabilire se si tratta di un nuovo attacco mirato a versioni diverse del sistema operativo QTS o se si tratta dell’exploit originale che prende di mira i dispositivi QNAP senza patch. Ciò che si sa è che:
- Il riscatto per le vittime è sempre lo stesso di prima: 0,030000 BTC per una chiave di decrittazione (circa 1.223 USD)
- Il riscatto per QNAP è lo stesso:
- 5 BTC per informazioni relative alle vulnerabilità (USD 203.988)
- 50 BTC per una chiave principale per sbloccare tutte le vittime interessate (2.039.885 USD)
- La maggior parte di questi dispositivi è stata identificata con il kernel QNAP QTS Linux versione 5.10.60.
- Le nuove infezioni non sembrano prendere di mira un’organizzazione o un paese specifico, le infezioni sembrano essere equamente suddivise tra i vari fornitori di servizi Internet dei consumatori.
Censys ha comunicato che continuerà a monitorare questa nuova infezione da Deadbolt e a divulgarne gli aggiornamenti.