Атаки DeadBolt: шифрование систем хранения
Компания Group-IB сообщила, что ее специалисты проанализировали образец программы-вымогателя DeadBolt, полученный в ходе одного из реагирований в России. Чаще всего жертвами вымогателей становятся компании малого и среднего бизнеса, однако экспертам известно о нескольких случаях атак на ведущие российские вузы.
Группа DeadBolt, отмечают в Group-IB, интересна тем, что шифрует исключительно системы хранения данных NAS, требуя выкуп как у пользователей, так и производителей оборудования за техническую информацию об использованной в атаке уязвимости. Сумма выкупа составляет 0,03–0,05 BTC (менее 1000 долл.) для пользователей и 10–50 BTC (от 200 тыс. до 1 млн долл.) для производителей NAS. Жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа автоматически: вымогатели не вступают с ней в контакт.
Группа DeadBolt активна как минимум с начала 2022 г., по данным Bleeping Computer, только в январе ей удалось заразить 3600 устройств NAS. По информации голландской полиции, которой удалось перехватить 155 ключей для дешифрования данных, к октябрю 2022 г. вымогатели атаковали более 20 тыс. устройств по всему миру.
Команда реагирования Group-IB провела расследование инцидента, связанного с атакой DeadBolt, и проанализировала использованный в ней сэмпл программы-вымогателя.
Специалисты Group-IB рекомендуют организациям для контроля уровня ИБ инфраструктуры использовать продукт Group-IB Attack Surface Management, который обеспечит инвентаризацию интернет-ресурсов, позволит выявить уязвимости и оценить критические риски. Эксперты также дают следующие рекомендации по настройке NAS:
Обновлять ПО/прошивки NAS-устройства;
- настроить двухфакторную аутентификацию (2FA) в учетной записи администратора на NAS;
- включить журнал подключений (System Connection Logs) на NAS-устройстве;
- настроить отправку событий журналов (системного журнала и журнала подключений) на удаленный Syslog-сервер;
- устанавливать пароли в соответствии со сложной парольной политикой;
- отключить учетную запись admin и создать отдельную учетную запись с правами администратора;
- выключить неиспользуемые сервисы на NAS-устройстве (FTP-сервер, Telnet и т. д.);
- переназначить порты основных сервисов (SSH, FTP, HTTP/HTTPS и другие) со значений по умолчанию на другие;
- отключить автоматический проброс портов в myQNAPcloud (QNAP).