Un nuevo grupo de ransomware DeadBolt está cifrando los dispositivos NAS de QNAP en todo el mundo utilizando lo que afirman es una vulnerabilidad de día cero en el software del dispositivo.
Los ataques comenzaron el pasado 25 de enero, cuando algunos dispositivos QNAP de repente encontraron sus archivos encriptados y los nombres de los archivos se agregaron con la extensión de archivo .deadbolt.
En lugar de crear notas de rescate en cada carpeta del dispositivo, la página de inicio de sesión del dispositivo QNAP se secuestra para mostrar una pantalla que dice "ADVERTENCIA: DeadBolt bloqueó sus archivos", como se muestra en la imagen a continuación.
 |
| Fuente: Twitter |
Esta pantalla informa a la víctima que debe pagar 0,03 bitcoins a una dirección de Bitcoin adjunta única para cada víctima.
Después de realizar el pago, los ciberdelincuentes afirman que realizarán una transacción de seguimiento a la misma dirección que incluye la clave de descifrado, que se puede recuperar siguiendo las siguientes instrucciones.
Esta clave de descifrado se puede ingresar en la pantalla para descifrar los archivos del dispositivo. hasta el momento, no hay confirmación de que pagar un rescate resulte en recibir una clave de descifrado o que los usuarios puedan descifrar archivos.
QNAP ha declarado que los usuarios pueden pasar por alto la pantalla de rescate y obtener acceso a su página de administración usando http://nas_ip:8080/cgi-bin/index.cgi o https://nas_ip/cgi-bin/index.cgi
Al igual que con todos los ataques de ransomware contra dispositivos QNAP, los ataques de DeadBolt solo afectan a los dispositivos accesibles a través de Internet.
Como los ciberdelincuentes afirman que el ataque se lleva a cabo a través de una vulnerabilidad de día cero, se recomienda enfáticamente que todos los usuarios de QNAP desconecten sus dispositivos de Internet y los coloquen detrás de un firewall.
Para añadir burla a la injuria, en la pantalla principal de la nota de rescate, hay un enlace titulado "mensaje importante para QNAP" que, al hacer clic, mostrará un mensaje de la pandilla DeadBolt específicamente para QNAP.
La banda DeadBolt asegura que están dispuestos a vender a QNAP la clave maestra de descifrado que puede descifrar los archivos de todas las víctimas afectadas y la información de día cero por 50 bitcoins, o aproximadamente 1,85 millones de dólares.
"Recibirá una clave maestra de descifrado universal (e instrucciones) que se pueden usar para desbloquear los archivos de todos sus clientes. Además, también le enviaremos todos los detalles sobre la vulnerabilidad de día cero a security@qnap.com".
No hay comentarios:
Publicar un comentario