BIZIT 2024

DEADBOLT – ransomware koji ide direktno na vaše bekape

U januaru 2021. pojavili su se izveštaji o soju ransomware-a koji uništava rezervne kopije pod nazivom Deadbolt, koji je očigledno usmeren na mala preduzeća, hobiste i naprednim korisnicima.

PCPress.rs Image

Posvetite pažnju svojim uređajima za bekapovanje

Deadbolt je namerno odabrao nišu u kojoj će delovati: korisnici kojima su bile potrebne rezervne kopije i dovoljno dobro informisani da ih naprave, ali koji nisu imali vremena ili sredstava da posvete potrebnu pažnju svojoj rutini rezervnih kopija. Mnogi napadi ransomware-a odvijaju se tako što sajber kriminalci provaljuju u vašu mrežu, mapiraju sve vaše računare, šifruju sve datoteke na svima njima unisono, a zatim menjaju svačiju pozadinu kako bi prikazali zahtev za ucenom u vidu: „Pay us $BIGVAL and we’ll send you a decryption key to unlock everything”. Za velike mreže, ova tehnika napada je, nažalost, pomogla brojnim odvažnim kriminalcima da iznude stotine miliona dolara od organizacija koje jednostavno nisu imale drugi način da vrate svoj posao na pravi put.

Deadbolt, međutim, ignoriše desktop i laptop računare na vašoj mreži i umesto toga pronalazi i napada ranjive uređaje za skladištenje podataka (network-attached storage – NAS) direktno preko interneta. Iskorišćavanjem bezbednosne ranjivosti u QNAP proizvodima, zlonamerni softver Deadbolt nije morao prvo da se nađe na vašem laptopu, a zatim da se širi bočno kroz vašu kućnu ili poslovnu mrežu, već ubacuje zlonamerni kod direktno u sam uređaj za skladištenje (kao i mnogi hardverski uređaji povezani na internet, pogođeni proizvodi pokreću prilagođenu Linux distribuciju).

Pročitajte i:  Ransomware napadi u velikom porastu

Dakle, ako ste slučajno podesili uređaj za rezervnu kopiju tako da je njegov veb portal bio dostupan sa „internet strane“ vaše mrežne veze – porta koji je verovatno označen kao WAN na vašem ruteru, onda svako ko znao kako da zloupotrebi bezbednosnu rupu zakrpljenu u QSA-21-57 može da napadne vaše rezervne datoteke pomoću malvera. U stvari, ako ste imali naviku da gledate u svoj uređaj samo kada je potrebno da oporavite ili pregledate fajlove, niste imali prostora da id održite „uživo“ na svom laptopu, možda ne biste shvatili da su vaše datoteke šifrovane sve dok ne biste otišli ​​na veb interfejs vašeg NAS-a. Intrigantno je da vam kriminalci koji stoje iza ovog napada ne daju adresu e-pošte ili veb lokaciju preko koje možete stupiti u kontakt.

Stranica za iznuđivanje Deadbolt, ima dramatičan naslov sa velikim slovima koji je lako otkriti korišćenjem jednostavne pretrage teksta na vrhu HTML stranice. Doduše, 1000 vidno pogođenih uređaja je mali broj u odnosu na veličinu globalnog interneta i ogroman broj uređaja koje je QNAP prodao, tako da je sasvim moguće da su ovi brojevi u potpunosti proizašli iz uređaja koji nisu uspeli da se ažuriraju još u januaru i februaru, uprkos QNAP-ovim naporima da ažurira sve bez obzira na njihova podešavanja automatskog ažuriranja. Takođe je moguće da su lopovi koji stoje iza Deadbolta smislili potpuno novi podvig ili varijaciju eksploatacije koju su ranije koristili, iako biste mogli očekivati veći porast novih Deadbolt infekcija da su lopovi zaista smislili novi napad. Sumnjamo, međutim, da su prevaranti iz Deadbolta, ili neko povezan sa njima, jednostavno odlučili da pokušaju još jednom, na osnovu toga da bi ono što je ranije funkcionisalo moglo ponovo da funkcioniše. Bez obzira na razlog, biće vam drago da saznate da izgleda da niko nije platio, jer je Bitcoin adresa trenutno prikazuje stanje nula i praznu istoriju transakcija. Evo našeg saveta za konkretnu zaštitu od ovog malvera, kao i opštu zaštitu od mrežnih napada ove vrste:

  • Ne otvarajte svoje mrežne servere do interneta osim ako to zaista želite. QNAP ima savete kako da sprečite da vaš NAS uređaj greškom prima linkove sa javnog interneta, čime se sprečava pristup vašem uređaju ili čak otkrivanje vašeg uređaja. Izvršite sličnu proveru za sve uređaje na vašoj mreži.
  • Ne oslanjajte se na automatske zakrpe. Bilo da se radi o NAS uređaju, vašem mobilnom telefonu, pametnom TV-u ili laptopu, nemojte jednostavno „podesiti i zaboraviti“ automatska ažuriranja. Redovno proveravajte da li su sva ažuriranja koja primite prošla ispravno.
  • Ne koristite Universal Plug-and-Play (UPnP). UPnP „funkcija“ zvuči veoma korisno, jer je dizajnirana da omogući ruterima da se automatski rekonfigurišu kako bi se olakšalo podešavanje mreže novih uređaja. Ali to dolazi sa ogromnim rizicima, naime da vaš ruter može nenamerno učiniti neke nove uređaje vidljivim kroz ruter, otvarajući ih na taj način nepouzdanim korisnicima na internetu. Ako imate ruter koji podržava UPnP, ali vam ne dozvoljava da ga isključite, nabavite novi ruter.
  • Nemojte se u potpunosti oslanjati na rezervne kopije na mreži. Pored rezervnih kopija na mreži, poput onih napravljenih na povezanim NAS jedinicama, trebalo bi da održavate i rezervnu kopiju van mreže koja se ne može automatski izbrisati u sajber napadu.
Pročitajte i:  Ransomware napadi u velikom porastu

Kada je reč o rezervnim kopijama, možda će vam biti zgodno „pravilo 3-2-1“ koji predlaže da imate najmanje tri kopije vaših podataka, uključujući glavnu kopiju; korišćenje dve različite vrste rezervnih kopija (tako da ako jedna ne uspe, manje je verovatno da će druga biti slično pogođena) i držanje jedne od njih van mreže. Ne zaboravite da šifrujete svoje rezervne kopije kako lopovi ne bi mogli da pristupe ukradenim uređajima za rezervne kopije.

Izvor: Nakedsecurity

Facebook komentari:
Računari i Galaksija
Tagovi: ,