Deadbolt Ransomware Extorts Vendors and Customers
2022/10/19 InfoSecurity — 今年のトピックとして、NAS デバイスを標的としたランサムウェアが多発し、ベンダーとエンド・ユーザーの両方を恐喝して収益を得ていることが、新しい報告書により明らかになった。Group-IB の調査レポート Deadbolt ransomware: nothing but NASty は、今年に出現した、このマルウェアのサンプル分析に基づくものだ。いまも進行している Deadbolt キャンペーンでは、ゼロデイ脆弱性を最初のアクセス/攻撃ベクターとして悪用し、SMB/学校/個人ユーザーなどが所有する、台湾のベンダー QNAP の NAS デバイスを標的としている。
Group-IB は、グローバルかつ無差別に活動する Deadbolt が、エンド・ユーザーに復号化キーを提供する代わりに、0.03~0.05 Bitcoin ($1000 未満) で要求していると述べている。その一方で、このランサムウェア・グループは、NAS ベンダー自体にも恐喝を試みている。
このレポートには、「10 BTC ($192,000) の身代金との交換で、Deadbolt は NAS ベンダーの QNAP に対して、悪用したゼロデイ脆弱性に関する全ての技術的詳細を共有することを約束している。さらに、50 BTC ($959,000) で、 キャンペーンの犠牲となったクライアントのファイルを復号化する、マスターキーを提供すると約束している」と記されている。
QNAP を標的とした、こうした取り組みは、現時点では成功しているようには見えない。 しかし、先月のレポートでは、6月〜9月にかけて、Deadbolt 感染は 674% の急増を示したとされる。これらの感染の大部分は米国で発見され、2472台のホストが Deadbolt の兆候を示している。それに続くのが、ドイツ (1778台) とイタリア (1383台) である。
しかし、Deadbolt との戦いにおいて、いくつかの成功例もある。先週の金曜日に、オランダのサイバー警察が、このランサムウェアの運営者を騙して、150以上の復号化キーを入手することに成功した。
オランダ警察は Bitcoin で支払いを済ませ、キーを受け取った後に、直ちに支払いを撤回し、150人の被害者のための実用的な復号化キーを手にした。
大半のランサムウェア亜種とは異なり、Deadbolt は二重の恐喝を目的としてデータを盗むのではなく、また。運営者が被害者と対話することもない。Group-IB は、このグループに対して支払いが行われると、被害者は取引明細の中で自動的に復号化キーを受け取ることになると説明している。
QNAP の NAS デバイスを標的とする、薄利多売型のランサムウェア Deadbolt に関する話です。このブログでも、QNAP と Deadbolt を取り扱うトピックは、かなりの頻度で読まれているので、それなりの被害が出ているのだろうと、推測しています。よろしければ、Group-IB の調査レポート DeadBolt ransomware: nothing but NASty をご参照ください。Web 形式なので、簡単に読めます。また、QNAP で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.