Атаки DeadBolt: шифрование систем хранения

--> Дата: Окт 26, 2022 259

Компания Group-IB сообщила, что ее специалисты проанализировали образец программы-вымогателя DeadBolt, полученный в ходе одного из реагирований в России. Чаще всего жертвами вымогателей становятся компании малого и среднего бизнеса, однако экспертам известно о нескольких случаях атак на ведущие российские вузы.

Группа DeadBolt, отмечают в Group-IB, интересна тем, что шифрует исключительно системы хранения данных NAS, требуя выкуп как у пользователей, так и производителей оборудования за техническую информацию об использованной в атаке уязвимости. Сумма выкупа составляет 0,03–0,05 BTC (менее 1000 долл.) для пользователей и 10–50 BTC (от 200 тыс. до 1 млн долл.) для производителей NAS. Жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа автоматически: вымогатели не вступают с ней в контакт.

Группа DeadBolt активна как минимум с начала 2022 г., по данным Bleeping Computer, только в январе ей удалось заразить 3600 устройств NAS. По информации голландской полиции, которой удалось перехватить 155 ключей для дешифрования данных, к октябрю 2022 г. вымогатели атаковали более 20 тыс. устройств по всему миру.

Команда реагирования Group-IB провела расследование инцидента, связанного с атакой DeadBolt, и проанализировала использованный в ней сэмпл программы-вымогателя.

Специалисты Group-IB рекомендуют организациям для контроля уровня ИБ инфраструктуры использовать продукт Group-IB Attack Surface Management, который обеспечит инвентаризацию интернет-ресурсов, позволит выявить уязвимости и оценить критические риски. Эксперты также дают следующие рекомендации по настройке NAS:

Обновлять ПО/прошивки NAS-устройства;

настроить двухфакторную аутентификацию (2FA) в учетной записи администратора на NAS;
включить журнал подключений (System Connection Logs) на NAS-устройстве;
настроить отправку событий журналов (системного журнала и журнала подключений) на удаленный Syslog-сервер;
устанавливать пароли в соответствии со сложной парольной политикой;
отключить учетную запись admin и создать отдельную учетную запись с правами администратора;
выключить неиспользуемые сервисы на NAS-устройстве (FTP-сервер, Telnet и т. д.);
переназначить порты основных сервисов (SSH, FTP, HTTP/HTTPS и другие) со значений по умолчанию на другие;
отключить автоматический проброс портов в myQNAPcloud (QNAP).

Group-IB Антивирусы Инциденты нарушения безопасности Системы обнаружения атак (COA)