Счет жертвам DeadBolt пошел на тысячи, QNAP принудительно обновила прошивки

Счет жертвам DeadBolt пошел на тысячи, QNAP принудительно обновила прошивки

Ввиду роста угрозы заражения шифровальщиком DeadBolt тайваньский производитель NAS-устройств отважился на решительный шаг. Призвав пользователей обновить ОС до последней версии, QNAP не стала ждать, когда те последуют ее совету, и автоматом спустила апдейт на все установки.

О появлении нового зловреда, шифрующего данные в NAS-хранилищах, стало известно в начале этой недели. В алерте на сайте BleepingComputer эксперты отметили, что им удалось выявить как минимум 15 жертв DeadBolt. В настоящее время Shodan выдает 1160 таких результатов, Censys.io — 3587.

Компания QNAP тоже опубликовала предупреждение, порекомендовав клиентам обновить QTS, а также отключить UPnP и проброс портов. В тот же день вечером вендор принял собственные меры защиты — принудительно обновил прошивки пользователям до версии 5.0.0.1891, притом даже там, где автообновление отключено.

К сожалению, эта акция прошла не совсем гладко. Некоторые пользователи стали жаловаться, что апдейт обрушил iSCSI-связь. Те, кто выкупил дешифратор и начал восстанавливать данные, обнаружили, что процесс прервался: после установки апдейта экран DeadBolt с полем ввода ключа пропал, а исполняемый файл зловреда исчез из системы.

В ответ на многочисленные жалобы, озвученные в Reddit, представитель QNAP заявил: повсеместное обновление ОС необходимо, чтобы остановить текущие атаки. Поскольку пользователи обычно не торопятся устанавливать патчи, в компании решили ускорить этот процесс.

Каким образом принудительный апдейт может защитить устройства пользователей от DeadBolt, в сообщении QNAP не поясняется. Последний раз QTS обновлялась в декабре; спецзащиты от DeadBolt эта сборка содержать не может. В BleepingComputer не исключают, что зловред проникает в системы через какую-то старую дыру, и обновление прошивки способно устранить эту лазейку.

Если это так, то жесткие меры QNAP немного запоздали: DeadBolt успел поразить тысячи NAS-устройств. Согласно Shodan и Censys, больше прочих от атак зловреда пострадали жители США, Франции, Тайваня, Великобритании и Италии.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Следствие по делу о REvil в России зашло в тупик

Как стало известно «Ъ», расследование деятельности предполагаемых участников группировки REvil, об аресте которых в январе сообщила ФСБ России, приостановилось. Американские коллеги так и не предоставили информации о жертвах и причиненном ущербе, поэтому подозреваемых можно обвинить только махинациях с банковскими картами двух граждан США, разыскать которых не представляется возможным.

Напомним, аресты в России были проведены с подачи американцев в рамках сотрудничества двух стран по вопросам кибербезопасности. В ходе недавнего интервью замглавы Совбеза РФ Олег Храмов рассказал «Российской газете», что в прошлом году заокеанские партнеры попросили под любым предлогом арестовать «главного хакера» — россиянина по фамилии Пузыревский, и предоставили его IP-адрес.

Российским спецслужбам удалось выяснить, что речь идет о рестораторе Данииле Пузыревском из Санкт-Петербурга. Попутно были идентифицированы 13 предполагаемых соучастников операций REvil, а также установлены две жертвы. Ими оказались проживающие в США мексиканцы, у которых подозреваемые, по версии следствия, дистанционно украли деньги, впоследствии потратив их в интернет-магазинах, с оплатой товаров по электронным средствам связи.

В России возбудили уголовное дело в соответствии с ч. 2 ст. 187 УК (неправомерное использование средств платежа в составе преступной группы), однако на том все и остановилось. Американская сторона, по словам Храмова, так и не предоставила обещанных дополнительных доказательств и даже не подтвердила ущерб от вымогательства. Более того, россиянам сообщили, что США в одностороннем порядке выходят из совместной рабочей группы и закрывают канал связи.

Адвокат одного из задержанных решил воспользоваться затишьем и добиться освобождения своего клиента. С этой целью он обратился к Храмову, отметив, что в уголовном деле до сих пор нет потерпевших и не указан ущерб, причиненный обвиняемыми. Допросов в СИЗО не проводится, поэтому защита просит генерала посодействовать в изменении меры пресечения, а затем — в прекращении уголовного преследования.

«На мой взгляд, разумным выходом из этой ситуации была бы сделка обвиняемых с Генпрокуратурой, — заявил «Ъ» автор прошения Игорь Вагин. — В ее рамках фигуранты получили бы освобождение от уголовной ответственности».

Адвокат также отметил, что изъятые денежные средства по условиям сделки могли бы быть потрачены на благие нужды, а «уникальный опыт» фигурантов дела наверняка пригодился бы российским спецслужбам.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru