image

Deadbolt-ransomware maakt comeback en versleutelt 1100 NAS-systemen

dinsdag 22 maart 2022, 16:01 door Redactie, 0 reacties

De Deadbolt-ransomware die in januari nog vijfduizend NAS-systemen van fabrikant QNAP infecteerde en aanwezige data voor losgeld versleutelde is terug en heeft de afgelopen dagen elfhonderd NAS-systemen besmet. Dat meldt securitybedrijf Censys op basis van eigen onderzoek.

Deadbolt maakte bij de aanvallen van januari gebruik van een bekende kwetsbaarheid in het besturingssysteem van de NAS-systemen. De update voor dit beveiligingslek was op 23 december vorig jaar beschikbaar gemaakt. Op 27 januari besloot QNAP om deze update als "aanbevolen versie" te bestempelen, waardoor die automatisch op NAS-systemen werd geïnstalleerd waar automatisch updaten stond ingeschakeld.

Wat Deadbolt volgens Censys uniek maakt is de communicatie met het slachtoffer. In plaats van het gehele systeem te versleutelen, waardoor het niet meer werkt, richt de ransomware zich alleen op specifieke directories en laat een bericht in de webinterface achter met instructies. Vanwege deze aanpak kon Censys het aantal besmette NAS-systemen op het internet achterhalen.

Eind januari telde Censys 130.000 QNAP NAS-systemen op internet, waarvan er 5.000 waren besmet. Nadat QNAP de update uitrolde daalde het aantal besmette systemen onder de driehonderd. De afgelopen dagen is er opeens een stijging zichtbaar en telt Censys ruim 1100 geïnfecteerde QNAP-systemen. Net als bij de aanval van januari eisen de aanvallers zo'n 1200 euro voor het ontsleutelen van de data.

Het is echter onbekend of bij deze nieuwste aanval van een andere exploit gebruik wordt gemaakt, of dat het hier gaat om ongepatchte NAS-systemen die via de originele exploit besmet zijn geraakt. Op het forum van QNAP zijn nog steeds nieuwe mensen te vinden die melding van versleutelde NAS-systemen maken.

Image

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.