Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Вымогатели из группы DeadBolt атакуют российские вузы, использующие системы хранения данных

20/10/22

hack70-Oct-20-2022-12-35-46-66-PM

Криминалисты Group-IB, одного из мировых лидеров в сфере кибербезопасности, успешно проанализировали образец программы-вымогателя DeadBolt, полученный в ходе одного из реагирований в России. Чаще всего жертвами вымогателей становятся компании малого и среднего бизнеса, однако экспертам Group-IB известно о нескольких случаях атак на ведущие российские вузы.

Группа DeadBolt интересна тем, что шифрует исключительно системы хранения данных (NAS, Network Attached Storage), требуя выкуп как у пользователей, так и производителей оборудования за техническую информацию об использованной в атаке уязвимости. Сумма выкупа составляет 0,03–0,05 BTC (менее $1000) для пользователей и 10–50 BTC (от $200 000 до $1 000 000) для производителей NAS.  Любопытно, что жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа автоматически: вымогатели не вступают с ней в контакт.

Сама группа активна как минимум с начала 2022 года — по данным Bleeping Computer только в январе DeadBolt удалось заразить 3600 устройств NAS. По  информации голландской полиции, которой удалось перехватить 155 ключей для дешифрования данных, к октябрю 2022 года вымогатели атаковали  более 20 000 устройств по всему миру.

Команда реагирования Group-IB провела расследование инцидента, связанного с атакой DeadBolt, и проанализировала использованный в ней сэмпл программы-вымогателя. В этом блоге мы представляем первый полноценный анализ шифровальщика DeadBolt с полной декомпиляцией программного кода.  Используя данные блога, пользователи NAS-устройств могут принять превентивные меры по защите от вымогателей DeadBolt.

Рекомендации для компаний

Для контроля уровня информационной безопасности инфраструктуры организации могут использовать продукт Group-IB Attack Surface Management. Решение обеспечит полную инвентаризацию интернет-ресурсов организации, позволит выявить уязвимости и оценить критические риски для принятия мер повышения защищенности.

Реагирование на инциденты информационной безопасности любой сложности, проводимое специалистами Group-IB, сведет к минимуму последствия инцидентов и позволит организации избежать их повторения в будущем.

Рекомендации по настройке NAS:

  • осуществлять обновление программного обеспечения / прошивки NAS-устройства;
  • настроить двухфакторную аутентификацию (2FA) в учетной записи администратора на NAS;
  • включить журнал подключений (System Connection Logsна NAS-устройстве;
  • настроить отправку событий журналов (системного журнала и журнала подключений) на удалённый Syslog-сервер;
  • устанавливать пароли в соответствии со сложной парольной политикой;
  • отключить учетную запись admin и создать отдельную учетную запись с правами администратора;
  • выключить неиспользуемые сервисы на NAS-устройстве (например: FTP-сервер, Telnet и так далее);
  • переназначить порты основных сервисов (SSH, FTP, HTTP/HTTPS и другие) со значений по умолчанию на другие;
  • отключить автоматический проброс портов в myQNAPcloud (QNAP). 
Темы:УгрозыGroup-IBВымогателиОбразованиеСистемы хранения данных (СХД)
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...