Il business di Deadbolt: pochi soldi alle vittime e molti ai produttori dei NAS per conoscere i bug 0day

Redazione RHC : 23 Ottobre 2022 08:42

La cybergang Deadbolt l’abbiamo incontrata recentemente, quando venne truffata dalla polizia olandese che è riuscita ad acquisire 155 chiavi di decrittazione senza sborsare un soldo.

Ma a parte questo hack di successo delle forze dell’ordine, il loro “business model” è particolare e funzionante e con questo articolo lo andremo a capire meglio. Infatti si basa sulla richiesta di piccoli riscatti verso le loro vittime, ma grandi somme di denaro da sborsare da parte dei vendor dei prodotti violati attraverso i loro 0day.

Si potrebbe dire che questa sia l’ultima frontiera del bug bounty, ma scopriamo meglio di cosa si tratta.

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La società di sicurezza informatica Group-IB ha analizzato un campione del ransomware DeadBolt ottenuto durante una delle attività nella Federazione Russa. Gli esperti notano che molto spesso le piccole e medie imprese diventano vittime di ransomware, tuttavia, gli esperti del Gruppo IB sono a conoscenza di diversi casi di attacchi alle principali università russe.

Il ransomware DeadBolt è attivo dall’inizio del 2022 e attacca NAS di vari produttori. Il ransomware è principalmente specializzato per i dispositivi Qnap, ma sono stati rilevati anche attacchi ai NAS ASUSTOR.

Finora più di 20.000 dispositivi in ​​tutto il mondo sono stati attaccati dagli aggressori, secondo la polizia olandese.

Secondo gli operatori DeadBolt sta sfruttando in questa campagna una vulnerabilità 0day nel software NAS che hanno rilevato. Ogni vulnerabilità 0day che viene identificata viene solitamente associata ad una nuova serie di attacchi.

Gli esperti di Group-IB affermano che il raggruppamento DeadBolt è interessante perché crittografa solo i sistemi di archiviazione dati (NAS, Network Attached Storage), chiedendo un riscatto sia agli utenti che ai produttori di apparecchiature per informazioni tecniche sulla vulnerabilità utilizzata nell’attacco.

L’importo del riscatto è 0,03-0,05 BTC (meno di 1.000 dollari) per gli utenti, mentre si parla di 10-50 BTC (tra 200.000 e 1.000.000 di dollari) per i produttori di NAS, per riuscire a conoscere il bug 0day utilizzato. 

In questo caso, le vittime ricevono automaticamente le chiavi per la decifrazione nei dettagli delle transazioni, dopo aver pagato il riscatto: gli estorsionisti non entrano in contatto con le vittime. 

Forse a questo proposito DeadBolt non richiede riscatti astronomici dalle vittime: la vittima o paga all’indirizzo specificato e riceve una chiave dai dettagli della transazione, oppure no. 

I ricercatori scrivono che quando hanno analizzato DeadBolt, non hanno trovato nulla di molto complesso, come gli schemi crittografici che utilizzano algoritmi di crittografia asimmetrica. 

Al contrario, i metodi degli hacker sono semplici ed efficaci. Con un po’ di ironia, gli esperti notano l’interfaccia web del loro sito molto “amichevole”.

Dal momento che DeadBolt sta cercando di chiedere un riscatto dai produttori di NAS ed è in circolazione da molto tempo, gli esperti concludono che, a quanto pare, questo “modello di business” funziona e si giustifica da solo.

Alla fine del loro rapporto, gli analisti hanno fornito i seguenti consigli per la configurazione di un NAS che aiuterà a proteggere dagli attacchi DeadBolt e altri malware:

• aggiornare il software/firmware del NAS;
• impostare l’autenticazione a due fattori (2FA) sull’account amministratore sul NAS;
• abilitare il log di connessione (System Connection Logs) sul dispositivo NAS;
• configurare l’invio di eventi di registro (registro di sistema e registro di connessione) a un server Syslog remoto;
• impostare le password secondo una complessa politica delle password;
• disabilitare l’account amministratore e creare un account separato con diritti di amministratore;
• disattivare i servizi non utilizzati sul dispositivo NAS (ad esempio: server FTP, Telnet e così via);
• riassegnare le porte dei principali servizi (SSH, FTP, HTTP/HTTPS e altri) dai valori di default ad altri;
• disabilitare il port forwarding automatico in myQNAPcloud (QNAP).

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli