Especialistas em cibersegurança constataram um aumento expressivo de dispositivos de armazenamento conectados à rede (NAS) em todo o mundo infectados com a variante do ransomware Deadbolt, especialmente aparelhos fabricados pela QNAP. Os dispositivos produzidos pela empresa taiwanesa vêm sendo alvo do grupo desde o início do ano. Os hackers aproveitaram uma vulnerabilidade nos produtos para comprometê-los, causando grandes problemas para os consumidores e pequenas empresas que são clientes típicos da QNAP.
No entanto, a fornecedora de gerenciamento de superfície de ataque Censys alertou que os ataques continuaram ocorrendo no período de junho a agosto. A companhia registrou um total de 2.459 infecções globalmente de em 27 de junho, número que subiu para 7.783 em 15 de julho, depois 9.091 em 30 de julho e, finalmente, uma alta de 19.029 dispositivos em 4 de setembro. Isso representa um aumento de 674% em pouco mais de dois meses.
A maioria dessas infecções foi encontrada nos EUA, com 2.472 hospedeiros mostrando sinais de infecção pelo Deadbolt, seguidos por Alemanha (1.778) e Itália (1.383).
O pico de infecções observado entre 1º de setembro e o dia seguinte, quando o número de dispositivos afetados saltou de 7.748 para 13.802, pode ter sido causado por um bug de dia zero recém-explorado, que a QNAP descreveu em um aviso em 3 de setembro.
Veja isso
QNAP alerta para risco de ataque do ransomware Checkmate
Sistema NAS da QNAP é alvo de variante de ransomware DeadBolt
O pico recente é muito maior do que a cadência normal de novas infecções registradas pelo Censys, explicou o pesquisador sênior de segurança Mark Ellzey à Infosecurity. “A empresa conseguiu rastrear dispositivos infectados devido à maneira como o Deadbolt ransomware funciona”, explicou ele.
Segundo Ellzey, em vez de criptografar todo o dispositivo, o que efetivamente o coloca offline — e fora do alcance da Censys —, o ransomware visa apenas diretórios de backup específicos para criptografia e vandaliza a interface de administração da web com uma mensagem informativa explicando como remover a infecção.
“Devido à forma como esse ransomware se comunica com a vítima, a Censys pode encontrar facilmente dispositivos infectados expostos na Internet pública por meio dessa simples consulta de pesquisa. Além de amplas informações sobre quais hosts foram infectados com Deadbolt, também podemos obter e rastrear cada endereço exclusivo de carteira bitcoin usado como resgate, já que o endereço Bitcoin usado para resgates está incorporado no corpo do HTML”, disse Ellzey.
Os usuários dos dispositivos da QNAP devem atualizar para a versão mais recente para corrigir a vulnerabilidade mais recente, rastreada como CVE-2022-27593.