DeadBolt Ransomware

 Se ha detectado un nuevo malware llamado DeadBolt dirigido contra los dispositivos NAS (Network Attached Storage o Almacenamiento conectado a la red, en español) del proveedor taiwanés QNAP. Se trata de un ransomware que cifra los datos de los usuarios y solicita un rescate de 0,03 Bitcoins para recuperarlos.

El ransomware estaría aprovechando una vulnerabilidad de día cero (0-day) no conocida por el fabricante. Los desarrolladores de este malware comunican en el mensaje de bloqueo mostrado tras la infección del dispositivo, que están dispuestos a vender a QNAP los detalles específicos de dicha vulnerabilidad por 5 Bitcoins (alrededor de 171.000 euros). También están dispuestos a ceder la clave maestra que permitiría descifrar los datos de todos los dispositivos afectados por 50 Bitcoins.

Otra peculiaridad que muestra el grupo DeadBolt es la forma en que se supone que se lleva a cabo la comunicación con las víctimas. A diferencia de la mayoría de los operadores de ransomware que confían en una dirección de correo electrónico o un sitio web de TOR dedicado para actuar como un canal de comunicación, DeadBolt intercambia información únicamente a través de transacciones de Bitcoin realizadas a la dirección de billetera única proporcionada a cada víctima. De hecho, después de transferir el rescate a la dirección, se supone que las víctimas también deben esperar a que los piratas informáticos realicen una transacción. Se supone que sus detalles contienen la clave de descifrado que podría desbloquear los archivos afectados al ingresarlos en la pantalla de inicio de sesión del dispositivo comprometido.|

DeadBolt también hace varias ofertas directamente a QNAP. Por el precio de 5 BTC, los ciberdelincuentes están dispuestos a compartir detalles sobre la vulnerabilidad de día cero con la empresa. Si QNAP está dispuesto a pagar 50 BTC (alrededor de $1,85 millones), los piratas informáticos también proporcionarán la clave maestra de descifrado que, según afirman, podrá desbloquear los archivos de todos los usuarios afectados.

QNAP ha declarado que está investigando el ataque. Por ahora, la compañía ha proporcionado formas para que los usuarios pasen por alto la pantalla de inicio de sesión de DeadBolt y restablezcan el acceso a su página de administración a través de http://nas_ip:8080/cgi-bin/index.cgi y https://nas_ip/cgi-bin /index.cgi URL. Se recomienda encarecidamente a los usuarios que desconecten sus dispositivos de Internet y habiliten la protección de cortafuegos. QNAP también ha proporcionado una página con pasos sobre cómo los usuarios pueden proteger sus datos y dispositivos NAS.