Af Eskil Sørensen, 21/10/22
En ransomware-gruppe, der har rettet sit søgelys mod netværkstilsluttede lagringsenheder (NAS), forsøger tjener penge på sin indsats ved at afpresse både leverandøren og dennes slutkunder.
Det skriver Infosecurity Magazine med henvisning til en rapport fra sikkerhedsvirksomheden Group-IB.
Ransomwaregruppen hedder Deadbolt ransomware, og dens metoder, som Group-IB har kigget nærmere på, viser, at gruppen også forsøger at få penge ud af leverandøren ved at give tekniske detaljer om en udnyttet 0-dagssårbarhed.
Det er angiveligt set ske i en igangværende kampagne, hvor der netop er brugt en 0-dagssårbarhed som en indledende adgangs-/angrebsvektor mod NAS-enheder fra den taiwanske leverandør QNAP. NAS-enhederne anvendes i denne forbindelse af små og mellemstore virksomheder, skoler, individuelle hjemmebrugere mv., som trusselsaktørerne kræver mellem 0,03 og 0,05 bitcoin af for en dekrypteringsnøgle. Det svarer pt. til under 1000 dollar. Trusselsaktøren opererer globalt.
Nye ofre for afpresning
Mere usædvanligt for ransomwareaktiviteter som sådan søger gruppen også at afpresse NAS-leverandøren selv, hvilket er en nyt i forhold til andre gruppers praksis.
For et krav om 10 bitcoin (192.000 dollar) har ransomwaregruppen efter det oplyste lovet QNAP, at den vil dele alle de tekniske detaljer vedrørende den udnyttede 0-dagssårbarhed. Og for 50 bitcoin har gruppen tilbudt hovednøglen til dekryptering af de filer, der tilhører leverandørens kunder, som er ofre for kampagnen.
Infosecurity Magazine skriver, at Deadbolt i modsætning til de fleste ransomwaregrupper ikke låser og stjæler data med henblik på dobbeltafpresning – og operatørerne interagerer heller ikke med deres ofre. Når en betaling er foretaget til gruppen, modtager offeret automatisk dekrypteringsnøglen, og så er den sag klaret.
Links:
https://www.infosecurity-magazine.com/news/deadbolt-ransomware-extorts/