Поделиться
Group-IB: вымогатели из группы DeadBolt атакуют российские вузы, использующие системы хранения данных
Криминалисты Group-IB успешно проанализировали образец программы-вымогателя DeadBolt, полученный в ходе одного из реагирований в России. Чаще всего жертвами вымогателей становятся компании малого и среднего бизнеса, однако экспертам Group-IB известно о нескольких случаях атак на ведущие российские вузы.
Группа DeadBolt интересна тем, что шифрует исключительно системы хранения данных (NAS, Network Attached Storage), требуя выкуп как у пользователей, так и производителей оборудования за техническую информацию об использованной в атаке уязвимости. Сумма выкупа составляет 0,03-0,05 BTC (менее $1 тыс.) для пользователей и 10-50 BTC (от $200 тыс. до $1 млн) для производителей NAS. Любопытно, что жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа автоматически: вымогатели не вступают с ней в контакт.
Сама группа активна как минимум с начала 2022 г. — по данным Bleeping Computer, только в январе DeadBolt удалось заразить 3,6 тыс. устройств NAS. По информации голландской полиции, которой удалось перехватить 155 ключей для дешифрования данных, к октябрю 2022 г. вымогатели атаковали более 20 тыс. устройств по всему миру.
Команда реагирования Group-IB провела расследование инцидента, связанного с атакой DeadBolt, и проанализировала использованный в ней образец программы-вымогателя. В этом блоге мы представляем первый полноценный анализ шифровальщика DeadBolt с полной декомпиляцией программного кода. Используя данные блога, пользователи NAS-устройств могут принять превентивные меры по защите от вымогателей DeadBolt.
Для контроля уровня информационной безопасности инфраструктуры организации могут использовать продукт Group-IB Attack Surface Management. Решение обеспечит полную инвентаризацию интернет-ресурсов организации, позволит выявить уязвимости и оценить критические риски для принятия мер повышения защищенности.
Реагирование на инциденты информационной безопасности любой сложности, проводимое специалистами Group-IB, сведет к минимуму последствия инцидентов и позволит организации избежать их повторения в будущем.
Рекомендации Group-IB по настройке NAS: осуществлять обновление программного обеспечения / прошивки NAS-устройства; настроить двухфакторную аутентификацию (2FA) в учетной записи администратора на NAS; включить журнал подключений (System Connection Logs) на NAS-устройстве; настроить отправку событий журналов (системного журнала и журнала подключений) на удалённый Syslog-сервер; устанавливать пароли в соответствии со сложной парольной политикой; отключить учетную запись admin и создать отдельную учетную запись с правами администратора; выключить неиспользуемые сервисы на NAS-устройстве (например: FTP-сервер, Telnet и так далее); переназначить порты основных сервисов (SSH, FTP, HTTP/HTTPS и другие) со значений по умолчанию на другие; отключить автоматический проброс портов в myQNAPcloud (QNAP).
Поделиться
Короткая ссылка
