Byte Россия - ИТ

Атаки DeadBolt: шифрование систем хранения

Компания Group-IB сообщила, что ее специалисты проанализировали образец программы-вымогателя DeadBolt, полученный в ходе одного из реагирований в России. Чаще всего жертвами вымогателей становятся компании малого и среднего бизнеса, однако экспертам известно о нескольких случаях атак на ведущие российские вузы.

Группа DeadBolt, отмечают в Group-IB, интересна тем, что шифрует исключительно системы хранения данных NAS, требуя выкуп как у пользователей, так и производителей оборудования за техническую информацию об использованной в атаке уязвимости. Сумма выкупа составляет 0,03–0,05 BTC (менее 1000 долл.) для пользователей и 10–50 BTC (от 200 тыс. до 1 млн долл.) для производителей NAS. Жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа автоматически: вымогатели не вступают с ней в контакт.

Группа DeadBolt активна как минимум с начала 2022 г., по данным Bleeping Computer, только в январе ей удалось заразить 3600 устройств NAS. По информации голландской полиции, которой удалось перехватить 155 ключей для дешифрования данных, к октябрю 2022 г. вымогатели атаковали  более 20 тыс. устройств по всему миру.

Команда реагирования Group-IB провела расследование инцидента, связанного с атакой DeadBolt, и проанализировала использованный в ней сэмпл программы-вымогателя.

Специалисты Group-IB рекомендуют организациям для контроля уровня ИБ инфраструктуры использовать продукт Group-IB Attack Surface Management, который обеспечит инвентаризацию интернет-ресурсов, позволит выявить уязвимости и оценить критические риски. Эксперты также дают следующие рекомендации по настройке NAS:

Обновлять ПО/прошивки NAS-устройства;

  • настроить двухфакторную аутентификацию (2FA) в учетной записи администратора на NAS;
  • включить журнал подключений (System Connection Logs) на NAS-устройстве;
  • настроить отправку событий журналов (системного журнала и журнала подключений) на удаленный Syslog-сервер;
  • устанавливать пароли в соответствии со сложной парольной политикой;
  • отключить учетную запись admin и создать отдельную учетную запись с правами администратора;
  • выключить неиспользуемые сервисы на NAS-устройстве (FTP-сервер, Telnet и т. д.);
  • переназначить порты основных сервисов (SSH, FTP, HTTP/HTTPS и другие) со значений по умолчанию на другие;
  • отключить автоматический проброс портов в myQNAPcloud (QNAP).
Вам также могут понравиться