DeadBolt 勒索軟體再次攻擊 QNAP 儲存設備

QNAP在周五的公告中詳細說明:這次是DeadBolt集團今年針對供應商用戶的第四次活動。根據QNAP官方的說法,這種特殊的運行是針對基於過時版本Linux的QTS 4.x的網路儲存裝置(Network Attached Storage,NAS)上的文件進行加密,這可能具有某種可利用的弱點。

先前的攻擊發生在1月、3月和5月。DeadBolt背後的網路犯罪分子主要針對NAS設備。網路安全公司趨勢科技(Trend Micro)的分析師表示,QNAP系統是DeadBolt 攻擊的主要目標,但該組織在2月時也攻擊了系統製造商華碩子公司Asustor的NAS設備。

趨勢科技在一月的一份報告中寫道:「QNAP是網路犯罪分子對NAS越來越感興趣的例子。企業越來越依賴物聯網來實現持續連接、工作流程連續性和資料存取。同時他們認為,網路犯罪分子已經注意到這種依賴性,現在定期更新他們已知的工具和攻擊流程,將NAS包含在他們的目標列表中,他們非常清楚現代家庭和企業依賴這些設備來儲存和備份文件。

更重要的是,網路犯罪分子意識到這些設備具有有價值的訊息,並且只有最低限度的安全措施。

在美國網路安全暨基礎設施安全局列出的778個已知已利用的漏洞中,有8個與NAS有關,有10個涉及QNAP。

網路全供應商Viakoo的執行長Bud Broomhead告訴The Register,QNAP和其他供應商的NAS驅動器通常在公司IT團隊之外進行管理,這使其成為有吸引力的目標。

Broomhead說:「QNAP設備對網路犯罪分子非常有吸引力,他們的策略是向大量受害者索要少量資金,而不是向少數受害者索要大量贖金。勒索軟體開始轉向竊取資料,因為網路犯罪分子可以從獲得贖金和出售資料中獲利。隨著勒索軟件擴展到資料盜竊領域,對NAS設備的威脅將會增加。」

DeadBolt 與其他以 NAS 為重點的勒索軟體的不同之處不僅在於目標受害者的數量,還在於它的攻擊技術,包括提供多種支付選項——一種供用戶恢復其加密文件,另一種供QNAP使用。DeadBolt 攻擊者要求受害者個人支付 0.03 比特幣(約1,160 美元)來獲取解密文件的密鑰。而供應商則可選擇要獲取受感染設備漏洞之訊息或是花費20個比特幣(約超過100萬美元)來獲取主要解密的密鑰。

為了保護自己,組織需要保持NAS設備更新並至少與公共網路斷開連接——若必須遠端存取,則使用安全的VPN——使用強密碼和多因子身份驗證、安全連接和通訊埠,並關閉未使用和過時的服務。

相關連結:

Jeff Burt(2022). DeadBolt ransomware takes another shot at QNAP storage. TheRegister.

檢自:

https://www.theregister.com/2022/06/18/deadlbolt-ransomware-qnap-nas/ (Jun. 27, 2022)

回到頂端