Un nouveau groupe de rançongiciels DeadBolt chiffre les appareils NAS QNAP dans le monde entier en utilisant ce qu’ils prétendent être une vulnérabilité zero-day dans le logiciel de l’appareil.
Les attaques ont commencé aujourd’hui, le 25 janvier, avec des appareils QNAP trouvant soudainement leurs fichiers cryptés et les noms de fichiers ajoutés avec une extension de fichier .deadbolt.
Au lieu de créer des notes de rançon dans chaque dossier de l’appareil, la page de connexion de l’appareil QNAP est détournée pour afficher un écran indiquant « ATTENTION : vos fichiers ont été verrouillés par DeadBolt », comme illustré dans l’image ci-dessous.
La source: Twitter
Cet écran informe la victime qu’elle doit payer 0,03 bitcoins (environ 1 100 $) à une adresse Bitcoin fermée unique à chaque victime. Une fois le paiement effectué, les acteurs de la menace affirment qu’ils effectueront une transaction de suivi à la même adresse qui comprend la clé de déchiffrement.
Cette clé de décryptage peut ensuite être saisie à l’écran pour décrypter les fichiers de l’appareil. À l’heure actuelle, rien ne confirme que le paiement d’une rançon entraînera la réception d’une clé de déchiffrement ou que les utilisateurs pourront déchiffrer des fichiers.
EZpublish-france.fr a connaissance d’au moins quinze victimes de la nouvelle attaque de rançongiciel DeadBolt, aucune région spécifique n’étant ciblée.
Comme pour toutes les attaques de rançongiciels contre les appareils QNAP, les attaques DeadBolt n’affectent que les appareils accessibles à Internet.
Comme les acteurs de la menace affirment que l’attaque est menée via une vulnérabilité zero-day, il est fortement conseillé à tous les utilisateurs de QNAP de déconnecter leurs appareils d’Internet et de les placer derrière un pare-feu.
Les propriétaires de QNAP étant ciblés par les attaques en cours de deux autres familles de rançongiciels connues sous le nom de Qlocker et eCh0raix, tous les propriétaires devraient suivre ces étapes pour prévenir de futures attaques.
EZpublish-france.fr a créé un sujet de support du rançongiciel DeadBolt qui peut être utilisé pour discuter des attaques et potentiellement recevoir de l’aide d’autres propriétaires de QNAP.
Les attaquants exigent 50 bitcoins pour la clé principale
Sur l’écran principal de la note de rançon, il y a un lien intitulé « message important pour QNAP », qui, une fois cliqué, affichera un message du gang DeadBolt spécifiquement pour QNAP.
Sur cet écran, le gang de rançongiciels DeadBolt offre tous les détails de la vulnérabilité présumée du jour zéro si QNAP leur paie 5 Bitcoins d’une valeur de 184 000 $.
Ils sont également prêts à vendre à QNAP la clé de déchiffrement principale qui peut déchiffrer les fichiers de toutes les victimes concernées et les informations du jour zéro pour 50 bitcoins, soit environ 1,85 million de dollars.
« Effectuez un paiement en bitcoins de 50 BTC à bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8 », ont écrit les acteurs de la menace dans un message à QNAP.
« Vous recevrez une clé principale de décryptage universelle (et des instructions) qui peuvent être utilisées pour déverrouiller tous vos clients leurs fichiers. De plus, nous vous enverrons également tous les détails sur la vulnérabilité zero-day à security@qnap.com. »
La source: Twitter
Le gang de rançongiciels déclare en outre qu’il n’y a aucun moyen de les contacter autrement que par le biais de paiements Bitcoin.
Cette méthode de communication est une approche très différente des autres attaques de ransomwares qui fournissent généralement une forme de communication, que ce soit via un site Web Tor dédié, des e-mails ou des plates-formes de messagerie.
EZpublish-france.fr a contacté QNAP avec des questions sur les attaques DeadBolt et mettra à jour l’histoire avec leur réponse