DeadBolt fidye yazılımı şimdi dosyaları şifreleyerek ve bitcoin cinsinden 1.150 $ fidye talep ederek ASUSTOR NAS cihazlarını hedefliyor.
Bu saldırı dalgası ilk kez rapor edildi Reddit’te ve BleepingBilgisayar forumlarıve kısa bir süre sonra, ASUSTOR forumları.
Benzer QNAP NAS cihazlarını hedef alan DeadBolt fidye yazılımı saldırıları Geçen ay, tehdit aktörleri ASUSTOR NAS cihazlarını şifrelemek için sıfır gün güvenlik açığı kullandığını iddia ediyor.
ASUSTOR aygıtındaki dosyaları şifrelerken, fidye yazılımı, dosyaları aşağıdakileri içerecek şekilde yeniden adlandırır: .sürgü Dosya uzantısı. ASUSTOR giriş ekranı, aşağıda gösterildiği gibi, yaklaşık 1.150 $ değerinde 0.03 bitcoin talep eden bir fidye notu ile değiştirilecektir.

Kaynak: BleepingComputer.com
ASUSTOR, NAS cihazlarının nasıl şifrelendiğini açıklamamış olsa da, bazı ASUSTOR sahipleri, PLEX medya sunucusunda veya EZ Connect’te cihazlarına erişime izin veren bir güvenlik açığı olduğuna inanıyor.
ASUSTOR, saldırıları araştırdıklarını belirterek şu açıklamayı yaptı:
ASUSTOR cihazlarını etkileyen Deadbolt fidye yazılımı saldırılarına yanıt olarak, sorun araştırılırken myasustor.com DDNS hizmeti devre dışı bırakılacaktır. ASUSTOR, bunun bir daha olmamasını sağlamak için nedenleri araştırıp gözden geçirirken yeni gelişmelerle birlikte daha fazla bilgi yayınlayacaktır. Etkilenen müşterilere mümkün olan her şekilde yardımcı olmaya kararlıyız. Güvenliğiniz için aşağıdaki önlemleri öneriyoruz:
8000 ve 8001 varsayılan NAS web erişim bağlantı noktalarının yanı sıra 80 ve 443 uzak web erişim bağlantı noktaları dahil olmak üzere varsayılan bağlantı noktalarını değiştirin.
- EZ Connect’i devre dışı bırakın.
- Plex Bağlantı Noktalarını kapatın ve Plex’i devre dışı bırakın.
- Hemen bir yedekleme yapın.
- Terminal/SSH ve SFTP hizmetlerini kapatın.
En önemlisi, DeadBolt tarafından şifrelenmekten kaçınmak için ASUSTOR cihazınızı İnternet’e maruz bırakmayın.
DeadBolt cihazınıza zaten bulaşmışsa, Ethernet kablosunu çıkarın ve güç düğmesini üç saniye basılı tutarak NAS cihazınızı zorla kapatın.
Tüm dosyaları sileceği için NAS’ı yeniden başlatmaya çalışmayın. Bunun yerine, bunu kullanın İletişim Formu ASUSTOR teknisyenlerinden dosyalarınızı nasıl kurtaracağınız konusunda talimat istemek için.
Tüm ASUSTOR cihazlarının DeadBolt saldırılarına karşı savunmasız olup olmadığı belli değil, ancak raporlar AS6602T, AS-6210T-4K, AS5304T, AS6102T ve AS5304T modellerinin etkilenmediğini gösteriyor.
Ne yazık ki, DeadBolt fidye yazılımı tarafından şifrelenen dosyaları ücretsiz olarak kurtarmanın bir yolu yoktur ve etkilenen birçok QNAP kullanıcısı dosyaları kurtarmak için fidye ödemek zorunda kaldı.
Kurtarma bellenimi bugün piyasaya sürülecek
ASUSTOR, kullanıcıların NAS cihazlarını bir kez daha kullanabilmeleri için bugün bir kurtarma yazılımı yayınlamayı planlıyor. Ancak bu üretici yazılımı güncellemesi, şifrelenmiş dosyaların kurtarılmasına yardımcı olmaz.
ASUSTOR, Facebook sayfalarına “NAS’ı saldırıya uğrayan kullanıcılar için NAS’larını tekrar kullanabilmeleri için bugün destek mühendislerimizden bir kurtarma yazılımı yayınlamayı tahmin ediyoruz. Ancak şifreli dosyalar, kullanıcıların yedekleri olmadıkça kurtarılamaz.”
Ne yazık ki, bu kurtarma işlemi, bir fidye ödenirse dosyaların şifresini çözmek için gerekli olan fidye notu sayfalarını ve yürütülebilir kötü amaçlı yazılımları büyük olasılıkla kaldıracaktır. QNAP sahipleri için birçok soruna neden oldu.
Kullanıcıların yedeklemesi şiddetle tavsiye edilir. index.cgi ve TÜM DOSYALARINIZ DEADBOLT.html TARAFINDAN KİLİTLENDİ Kurtarma yazılımını çalıştırmadan önce dosyalar.
Bu dosyalar, fidyeyi ödemek ve sahiplerinin daha sonra Emsisoft’s ile kullanabilecekleri bir şifre çözme anahtarı almak için gerekli bilgileri içerir. DeadBolt için şifre çözücü.
Bir fidye ödenirse, tehdit aktörleri, kurban için şifre çözme anahtarını içeren bir fidyenin ödendiği aynı bitcoin adresine bir bitcoin işlemi oluşturur. Şifre çözme anahtarı, aşağıda gösterildiği gibi OP_RETURN çıktısının altında bulunur.

Kaynak: BleepingComputer
Şifre çözme işlemiyle ilgili yardıma ihtiyaç duyanlar veya geçen ay QNAP cihazlarını etkileyen genel sorunları görmek isteyenler için, sayfamızı inceleyebilirsiniz. DeadBolt fidye yazılımı destek konusu.
Ana anahtar için 50 bitcoin talep etmek
QNAP cihazlarına yapılan saldırılara benzer şekilde, DeadBolt, NAS cihazlarını ihlal etmek için kullanılan sıfırıncı gün güvenlik açığı ve tüm kurbanlar için ana şifre çözme hakkında ASUSTOR’a bilgi satmaya çalışıyor.
DeadBolt fidye notu, tıklandığında DeadBolt çetesinden ASUSTOR’a özel bir mesaj gösterecek olan “ASUSTOR için önemli mesaj” başlıklı bir bağlantı içerir.

Kaynak: BleepingComputer
Bu ekranda, DeadBolt tehdit aktörleri, ASUSTOR onlara 290.000 $ değerinde 7.5 Bitcoins öderse, iddia edilen sıfır gün güvenlik açığının ayrıntılarını satıyor.
DeadBolt çetesi ayrıca ASUSTOR’a tüm kurbanlar için ana şifre çözme anahtarını ve 1,9 milyon dolar değerinde 50 bitcoin için sıfır gün ayrıntılarını satmaya çalışıyor.
Tehdit aktörleri QNAP’a bir mesajda “bc1qgeghfv5wll35l5ttangzpjgz82y7lgwcp8se4a’ya 50 BTC’lik bir bitcoin ödemesi yapın” yazdı.
“Tüm istemcilerinizin dosyalarının kilidini açmak için kullanılabilecek evrensel bir şifre çözme ana anahtarı (ve talimatları) alacaksınız. Ayrıca, size sıfırıncı gün güvenlik açığıyla ilgili tüm ayrıntıları security@asustor.com adresine göndereceğiz.”
Fidye yazılımı işlemi, bitcoin ödemesini yapmaktan başka onlarla iletişim kurmanın bir yolu olmadığını belirtir. Ancak ödeme yapıldıktan sonra bilgileri security@asustor.com e-posta adresine göndereceklerini söylüyorlar.
ASUSTOR’un gasp talebini ödeyeceği şüphelidir, bu nedenle DeadBolt Ransomware NAS cihazınızı şifrelediyse, dosyaları kurtarmanın tek yolu yedeklerden geri yüklemek veya fidyeyi ödemek.
Fidye yazılımının BleepingConputer tarafından geçen ayki analizine dayanarak, DeadBolt, aşağıda gösterildiği gibi herhangi bir satıcının yerine geçebilecek fidye notu için bir şablon kullanan bir Linux kötü amaçlı yazılımıdır:
This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor ({VENDOR_NAME}).
Bu nedenle, gelecekte diğer NAS üreticilerine yönelik saldırılar görmemiz olasıdır.