Аккредитация в обмен на вузы: ИТ-компании обяжут тратить 3% сэкономленных налогов на студентов Аккредитация в обмен на вузы: ИТ-компании обяжут тратить 3% сэкономленных налогов на студентов Anthropic наносит ответный удар по Пентагону Anthropic наносит ответный удар по Пентагону Amazon решил поджечь рынок смартфонов Amazon решил поджечь рынок смартфонов Xiaomi меняет фокус со смартфонов на электромобили Xiaomi меняет фокус со смартфонов на электромобили

Вымогатели из группы DeadBolt атакуют российские вузы, использующие системы хранения данных

Россия 2 мин
безопасность
Фото TheDigitalArtist/pixabay.com (Pixabay License)

Криминалисты Group-IB успешно проанализировали образец программы-вымогателя DeadBolt, полученный в ходе одного из реагирований в России. Чаще всего жертвами вымогателей становятся компании малого и среднего бизнеса, однако экспертам Group-IB известно о нескольких случаях атак на ведущие российские вузы.

Группа DeadBolt интересна тем, что шифрует исключительно системы хранения данных (NAS, Network Attached Storage), требуя выкуп как у пользователей, так и производителей оборудования за техническую информацию об использованной в атаке уязвимости. Сумма выкупа составляет 0,03–0,05 BTC (менее $1000) для пользователей и 10–50 BTC (от $200 000 до $1 000 000) для производителей NAS. Любопытно, что жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа автоматически: вымогатели не вступают с ней в контакт.

Сама группа активна как минимум с начала 2022 года — по данным Bleeping Computer только в январе DeadBolt удалось заразить 3600 устройств NAS. По информации голландской полиции, которой удалось перехватить 155 ключей для дешифрования данных, к октябрю 2022 года вымогатели атаковали более 20 000 устройств по всему миру.

Команда реагирования Group-IB провела расследование инцидента, связанного с атакой DeadBolt, и проанализировала использованный в ней сэмпл программы-вымогателя. В этом блоге мы представляем первый полноценный анализ шифровальщика DeadBolt с полной декомпиляцией программного кода. Используя данные блога, пользователи NAS-устройств могут принять превентивные меры по защите от вымогателей DeadBolt.

Рекомендации для компаний

Для контроля уровня информационной безопасности инфраструктуры организации могут использовать продукт Group-IB Attack Surface Management. Решение обеспечит полную инвентаризацию интернет-ресурсов организации, позволит выявить уязвимости и оценить критические риски для принятия мер повышения защищенности.

Реагирование на инциденты информационной безопасности любой сложности, проводимое специалистами Group-IB, сведет к минимуму последствия инцидентов и позволит организации избежать их повторения в будущем.

Рекомендации по настройке NAS:

  • осуществлять обновление программного обеспечения / прошивки NAS-устройства;
  • настроить двухфакторную аутентификацию (2FA) в учетной записи администратора на NAS;
  • включить журнал подключений (System Connection Logs) на NAS-устройстве;
  • настроить отправку событий журналов (системного журнала и журнала подключений) на удалённый Syslog-сервер;
  • устанавливать пароли в соответствии со сложной парольной политикой;
  • отключить учетную запись admin и создать отдельную учетную запись с правами администратора;
  • выключить неиспользуемые сервисы на NAS-устройстве (например: FTP-сервер, Telnet и так далее);
  • переназначить порты основных сервисов (SSH, FTP, HTTP/HTTPS и другие) со значений по умолчанию на другие;
  • отключить автоматический проброс портов в myQNAPcloud (QNAP).