Операторы NAS-шифровальщика DeadBolt атакуют российские учебные заведения

Операторы NAS-шифровальщика DeadBolt атакуют российские учебные заведения

Операторы NAS-шифровальщика DeadBolt атакуют российские учебные заведения

Шифровальщик DeadBolt, заточенный под сетевые накопители (NAS), все еще актуален как угроза. Жертвами вымогательства чаще всего становятся представители малого и среднего бизнеса; эксперты Group-IB зафиксировали также несколько атак на ведущие российские вузы и провели анализ образца, полученного в ходе одного из инцидентов.

Вредонос DeadBolt известен не только своей избирательностью, но также тем, что требует выкуп не только у жертвы (0,03-0,05 биткоина, то есть менее $1000 по текущему курсу), но и у производителя NAS-устройств — QNAP или ASUStor (50 BTC за детали используемой уязвимости и мастер-ключ). Необычен также способ передачи ключа расшифровки после уплаты выкупа: жертва получает его в деталях блокчейн-транзакции (внутри кода OP_RETURN).

 

Анализ семпла DeadBolt (файла ELF), полученного при разборе одной из недавних атак, показал, что вредонос написан на Golang и представляет собой 32-битную программу для Linux/ARM. При запуске в режиме шифрования зловред загружает список расширений для поиска и конфигурацию из указанного в командной строке файла JSON (после загрузки перезаписывается нулевыми байтами и удаляется, чтобы предотвратить восстановление содержимого).

Шифрование данных осуществляется с помощью AES-128 в режиме CBC, при этом используется многопоточная обработка. Расшифровка запускается автоматически через веб-интерфейс NAS после ввода ключа, оплаченного жертвой. По завершении процесса вредоносная программа удаляет свои файлы.

Вывода данных при заражении DeadBolt не происходит (операторы шифровальщиков обычно прибегают к краже, чтобы угрожать публикацией в случае неуплаты выкупа). Среди жертв вымогательских NAS-атак числятся представители малого и среднего бизнеса, учебные заведения, физлица; их прописка при этом (страна), похоже, не имеет значения.

Криминальная группировка, стоящая за DeadBolt, активна в интернете как минимум с начала 2022 года. В январе число зараженных устройств исчислялось тысячами, а сейчас уже перевалило за 20 тысяч — по крайней мере, так пишет голландская полиция, которой удалось обманом собрать 155 ключей расшифровки, прежде чем злоумышленники спохватились и усилии контроль платежей.

Вектор атаки DeadBolt долго оставался неизвестным; сами злоумышленники утверждали, что используют уязвимость нулевого дня. В начале прошлого месяца на фоне новой волны атак DeadBolt вышел патч для QTS, подтвердивший гипотезу 0-day (CVE-2022-27593).

Рекомендации Group-IB по защите NAS от подобных атак:

  • не пренебрегать обновлением программного обеспечения / прошивки NAS-устройств;
  • настроить двухфакторную аутентификацию (2FA) в учетной записи администратора;
  • включить SystemConnectionLogs (журнал подключений) на устройстве;
  • настроить отправку событий журналов (системного и SystemConnectionLogs) на удалённый Syslog-сервер;
  • использовать сильные пароли;
  • отключить учетную запись admin и создать отдельный аккаунт с правами администратора;
  • отключить неиспользуемые сервисы (FTP, Telnet и т. п.);
  • переназначить порты основных служб (SSH, FTP, HTTP/HTTPS), заданные по умолчанию;
  • отключить автоматический проброс портов в myQNAPcloud.

Лаборатория Касперского замахнулась на рынок Vulnerability Management

«Лаборатория Касперского» представила новый продукт Kaspersky Vulnerability Management — систему для поиска, оценки и приоритизации уязвимостей в корпоративной инфраструктуре. Презентация проходит на мероприятии компании, где находится редакция Anti-Malware.ru.

Основным спикером выступил Антон Иванов. По его словам, решение создавали по запросам клиентов: продукт должен минимально нагружать инфраструктуру, укладываться в разумную совокупную стоимость владения и работать как часть общей экосистемы вендора.

 

 

Интерес компании к этому направлению вполне объясним. Мировой рынок систем управления уязвимостями растёт примерно на 12% в год. Российский сегмент по итогам 2025 года оценивается в 8,3 млрд рублей.

 

В «Лаборатории Касперского» делают ставку на собственную экспертизу в исследовании угроз. За всё время специалисты компании обнаружили 32 уязвимости нулевого дня.

Само управление уязвимостями тем временем превращается из полезной функции в обязательный элемент защиты. Критических дыр становится больше, а искусственный интеллект ускоряет не только работу защитников, но и поиск способов атаковать системы.

 

В компании описывают происходящее формулой: 0-day превращается в 0-hour. Иными словами, времени между обнаружением уязвимости и её реальной эксплуатацией становится всё меньше.

Как и у других решений этого класса, центральной функцией Kaspersky Vulnerability Management станет скоринг и приоритизация. Представители компании в ответ на вопросы генерального директора Anti-Malware.ru Ильи Шабанова уточнили, что в следующем релизе планируют добавить кастомный скоринг с учётом контекста уязвимого актива.

 

Быстродействие и низкую нагрузку на инфраструктуру разработчики собираются обеспечить за счёт переиспользования Kaspersky Endpoint Security на хостах и оптимизированного безагентского сканирования.

RSS: Новости на портале Anti-Malware.ru