DeadBolt fidye yazılımı ailesi, hem satıcılara hem de kurbanlarına yönelik çok katmanlı bir şema uygulayarak ve birden fazla kripto para birimi ödeme seçeneği sunarak QNAP ve Asustor ağa bağlı depolama (NAS) cihazlarını hedefliyor.
Bu faktörler, DeadBolt’u diğer NAS fidye yazılımı ailelerinden farklı kılıyor ve bir araştırmaya göre kurbanları için daha sorunlu olabilir. Trend Micro’dan analiz bu hafta.
Fidye yazılımı, araştırmacılara göre, hedeflediği satıcıya göre belirli ayarları dinamik olarak seçecek, ölçeklenebilir ve yeni kampanyalara ve satıcılara kolayca uyarlanabilir hale getirecek bir yapılandırma dosyası kullanıyor.
Ödeme planları, ya kurbanın bir şifre çözme anahtarı için ödeme yapmasına ya da satıcının bir şifre çözme ana anahtarı için ödeme yapmasına izin verir. Bu ana anahtar teorik olarak tüm kurbanlar için verilerin şifresini çözmek için çalışır; ancak rapor, DeadBolt kurbanlarının %10’undan daha azının fidyeyi ödediğini belirtiyor.
Rapora göre, “Satıcı ana şifre çözme anahtarı DeadBolt’un kampanyalarında çalışmasa da, hem kurbanı hem de satıcıyı fidye tutma konsepti ilginç bir yaklaşım” dedi. “Özellikle bu taktik bir fidye yazılımı grubu adına düşük miktarda çaba gerektirdiğinden, bu yaklaşımın gelecekteki saldırılarda kullanılması olasıdır.”
Trend Micro’da kıdemli tehdit araştırmacısı Fernando Mercês, aktörlerin fidye ödemeleriyle başa çıkmak için işlevsel, güzel tasarlanmış bir Web uygulaması da oluşturduklarına dikkat çekiyor.
“QNAP ve Asustor’un içindekileri de biliyorlar” diyor. “Genel olarak, teknik açıdan etkileyici bir iş.”
Mercês, genel olarak fidye yazılımı aktörlerinin, düşük güvenlik, yüksek kullanılabilirlik, yüksek veri değeri, modern donanım ve ortak işletim sistemi (Linux) gibi faktörlerin birleşimi nedeniyle NAS cihazlarını hedeflediğini ekliyor.
“Bu, her türlü uygulamanın kurulu olduğu ve hiçbir profesyonel güvenlik uygulanmadığı İnternet’e bakan Linux sunucularını hedeflemek gibi” diyor. “Ayrıca, bu sunucular kullanıcı için yüksek değerli veriler içeriyor. Fidye yazılımı için mükemmel bir hedef gibi görünüyor.”
Kuruluşların internete bakan NAS cihazlarını hedef alan saldırılara karşı korunmaları için bir VPN hizmeti kullanabileceklerini söylüyor, ancak yapılandırma birkaç teknik beceri gerektirebilir.
“NAS’ı internette ifşa etmekten başka bir yol olmadığını varsayalım” diyor. “Bu durumda, güçlü parolalar, 2FA, kullanılmayan tüm hizmetleri ve uygulamaları devre dışı bırakma/kaldırma ve önünde yalnızca erişmek istediğiniz bağlantı noktalarına izin verecek şekilde bir güvenlik duvarı yapılandırmanızı öneririm. Bu bir yönlendiricide yapılabilir, örneğin.”
Mercês, etkili görünmese de suçluların müşterileri için “sorunu çözmeleri” için satıcılara biraz baskı yapmaya çalıştığını görmenin ilginç olduğunu belirtiyor.
“Sanırım suçlular, satıcıların müşterilerinin önünde imajlarından endişe edeceklerini ve belki de hepsi için ücretsiz şifre çözücü almak için para ödeyeceğini düşündüler” diyor. “Müşterilerin satıcıları kendi adlarına ödemeye zorlaması ilginç olabilir, ancak bu olmadı.”
Mayıs ayında QNAP, NAS cihazlarının DeadBolt fidye yazılımı tarafından aktif saldırı altında olduğu konusunda uyardı ve Ocak ayında saldırı yüzeyi çözümleri sağlayıcısından bir rapor Censys.io Potansiyel hedef olan 130.000 QNAP NAS cihazından 4.988’inin DeadBolt enfeksiyonu belirtileri gösterdiğini kaydetti.
Dijital risk koruma çözümleri sağlayıcısı Digital Shadows’ta kıdemli siber tehdit istihbarat analisti Nicole Hoffman, DeadBolt fidye yazılımı operasyonunun, kurbanların herhangi bir zamanda tehdit aktörleriyle iletişim kurmalarına gerek olmaması da dahil olmak üzere çeşitli nedenlerle ilginç olduğuna dikkat çekiyor. .
“Çoğu fidye yazılımı grubunda, kurbanların genellikle farklı zaman dilimlerinde bulunan tehdit aktörleriyle müzakere etmesi gerekiyor” diyor. “Bu etkileşimler, iyileşme sürecine önemli miktarda zaman ve bir belirsizlik düzeyi ekleyebilir, çünkü sonuç, etkileşimin başarısına bağlı olabilir.”
Ancak, teknik açıdan bakıldığında, DeadBolt fidye yazılımı saldırılarının, birçok kurumsal cihazı hedef alan fidye yazılımı saldırılarından farklı olduğunu, çünkü ilk erişim, yama uygulanmamış İnternet’e bakan NAS cihazlarındaki güvenlik açıklarından yararlanılarak elde edildiğini belirtiyor.
Hoffman, “Hedeflerini gerçekleştirmek için gerekli hiçbir sosyal mühendislik veya yanal hareket tekniği yoktur” diyor. “Tehdit aktörlerinin bu fırsatçı saldırıları gerçekleştirmek için çok fazla zamana, araca veya paraya ihtiyacı yok.”