Deadbolt ransomware adopta esquema de extorsión de varios niveles

En mayo, QNAP advirtió a sus clientes sobre los continuos ataques del grupo de ransomware DeadBolt contra los dispositivos NAS. Los ataques comenzaron en enero y el actor de amenazas pide un rescate de 0,03 Bitcoin por la clave de descifrado. Al 26 de enero de este año, 4.988 servicios de 130.000 dispositivos NAS de […]

En mayo, QNAP advirtió a sus clientes sobre los continuos ataques del grupo de ransomware DeadBolt contra los dispositivos NAS. Los ataques comenzaron en enero y el actor de amenazas pide un rescate de 0,03 Bitcoin por la clave de descifrado.

Al 26 de enero de este año, 4.988 servicios de 130.000 dispositivos NAS de QNAP fueron infectados por DeadBolt, según un informe de Censys.io.

Sumado a QNAP, Asustor, otro proveedor de dispositivos NAS, sufrió ataques DeadBolt en febrero.

El mes siguiente, el actor de amenazas volvió a centrarse en los dispositivos QNAP y la cantidad de infecciones llegó a 1.146.

A esto le siguió el incidente de mayo en el que se vieron afectados los dispositivos NAS que ejecutan QTS 4.3.6 y QTS 4.4.1.

DeadBolt emplea varios TTP sofisticados, incluidas múltiples opciones de pago, una para el usuario y otra para el proveedor. Sin embargo, incluso si los proveedores pagan el rescate, no recibirán la clave maestra para desbloquear los archivos.

Esta es la primera vez que un grupo de ransomware implementa dos rescates en un solo ataque, lo que lo convierte en una amenaza única.

Los operadores de malware han creado una interfaz de usuario web que descifra los datos de las víctimas una vez que se paga el rescate y se proporciona una clave de descifrado, a diferencia de otras familias de ransomware que brindan pasos difíciles de seguir.

Otra característica novedosa es que las víctimas no necesitan ponerse en contacto con los atacantes, ya que la transacción de la cadena de bloques proporciona automáticamente la clave de descifrado. Sin embargo, esta técnica ha sido utilizada anteriormente por el actor de ransomware CTB-Locker.

Trend Micro señaló que el descifrado no es posible para los archivos víctimas del ransomware, ya que no ha sido posible verificar el proceso de descifrado de la clave maestra.

Un informe de Censys indicó que, hasta abril, se pagaron un total de 132 rescates al actor de amenazas, por un monto de $ 187.665 dólares.

Hasta el 20 de mayo, DeadBolt había infectado alrededor de 470 dispositivos en EE. UU., Alemania y el Reino Unido.

El mayor número de infecciones se observó en marzo, y es posible que haya habido más de una infección por dispositivo.

De manera alarmante, Trend Micro detectó 83.000 QNAP y 2500 servicios expuestos a Internet de Asustor en riesgo de infección.