El nuevo ransomware DeadBolt se dirige a los dispositivos QNAP y solicita 50 BTC por la clave maestra

Un nuevo grupo de ransomware DeadBolt está cifrando dispositivos NAS de QNAP en todo el mundo utilizando lo que afirman es una vulnerabilidad de día cero en el software del dispositivo.

Los ataques comenzaron hoy, 25 de enero, cuando los dispositivos QNAP encontraron repentinamente archivos cifrados y nombres de archivos con un .tornillo extensión de archivo.

En lugar de crear notas de rescate en cada carpeta del dispositivo, la página de inicio de sesión del dispositivo QNAP se secuestra para mostrar una pantalla que dice "ADVERTENCIA: DeadBolt bloqueó sus archivos", como se muestra en la siguiente imagen.

Nota de rescate en la página de inicio de sesión de QNAP secuestrada
Nota de rescate en la página de inicio de sesión de QNAP secuestrada
Fuente: Gorjeo

Esta pantalla le informa a la víctima que debe pagar 0,03 bitcoins (aproximadamente $ 1100) a una dirección de Bitcoin adjunta única para cada víctima. Después de realizar el pago, los actores de amenazas afirman que realizarán una transacción posterior a la misma dirección que incluye la clave de descifrado.

Esta clave de descifrado se puede ingresar en la pantalla para descifrar los archivos del dispositivo. En la actualidad, no hay confirmación de que pagar un rescate resulte en recibir una clave de descifrado o que los usuarios puedan descifrar archivos.

BleepingComputer tiene conocimiento de al menos quince víctimas del nuevo ataque de ransomware DeadBolt, y no tiene como objetivo ninguna región específica.

Al igual que con todos los ataques de ransomware contra los dispositivos de QNAP, los ataques de DeadBolt solo afectan a los dispositivos con acceso a Internet.

Dado que los actores de la amenaza afirman que el ataque se lleva a cabo a través de una vulnerabilidad de día cero, se recomienda enfáticamente que todos los usuarios de QNAP desconecten sus dispositivos de Internet y los coloquen detrás de un firewall.

Dado que los propietarios de QNAP son objeto de los ataques en curso de otras dos familias de ransomware conocidas, como Qlocker y eCh0raix, todos los propietarios deben seguir estos pasos para evitar futuros ataques.

BleepingComputer ha creado un tema de soporte para el ransomware DeadBolt que se puede usar para analizar ataques y obtener ayuda de otros propietarios de QNAP.

Los atacantes exigen 50 bitcoins por la llave maestra

En la pantalla principal de la nota de rescate, hay un enlace titulado "mensaje importante para QNAP" que, al hacer clic, mostrará un mensaje de banda DeadBolt específico de QNAP.

En esta captura de pantalla, la pandilla de ransomware DeadBolt ofrece detalles completos de la supuesta vulnerabilidad de día cero si QNAP les paga 5 Bitcoins por valor de $ 184,000.

También están dispuestos a vender a QNAP la clave maestra de descifrado capaz de descifrar los archivos de todas las víctimas afectadas y la información de día cero por 50 bitcoins, o aproximadamente $1,85 millones.

"Realice un pago de bitcoin de 50 BTC a bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8", escribieron los actores de la amenaza en un mensaje a QNAP.

"Recibirá una clave de descifrado universal (e instrucciones) que puede usar para desbloquear los archivos de todos sus clientes. Además, le enviaremos todos los detalles sobre la vulnerabilidad de día cero a [email protected]".

Mensaje de los actores de amenazas para QNAP
Mensaje de los actores de amenazas para QNAP
Fuente: Gorjeo

La pandilla de ransomware también afirma que no hay otra forma de contactarlos que no sea a través de pagos de Bitcoin.

Este método de comunicación es un enfoque muy diferente al de otros ataques de ransomware que generalmente brindan alguna forma de comunicación, ya sea a través de un sitio web Tor dedicado, correo electrónico o plataformas de mensajería.

BleepingComputer contactó a QNAP con preguntas sobre los ataques DeadBolt y actualizará la historia con su respuesta

Descubre más contenido

Subir Change privacy settings