Kể từ tháng 01/2022, mã độc tống tiền này đã nhắm mục tiêu đến các thiết bị QNAP NAS trên toàn thế giới và cho phép tin tặc thực hiện mã hóa nội dung của các hệ thống bị nhiễm. Sau khi mã hóa nội dung của thiết bị, mã độc tống tiền sẽ gắn vào đuôi .deadboltextension đối với tên của các tệp được trích dẫn và hiển thị trên trang đăng nhập của QNAP NAS với thông báo sau:
Cảnh báo tệp đã bị khóa bởi DeadBolt
Màn hình đăng nhập QNAP bị xâm nhập và hiển thị thông báo đòi tiền chuộc yêu cầu thanh toán 0,03 BTC tiền chuộc (khoảng 1.277 đô la) để nhận được khóa giải mã để khôi phục các tệp.
Thông báo đòi tiền chuộc cũng bao gồm một liên kết có tiêu đề “thông điệp quan trọng đối với QNAP” và trỏ đến một trang cung cấp chi tiết kỹ thuật về lỗ hổng zero-day được cho là nằm trong thiết bị QNAP NAS với giá 5 BTC (khoảng 212.000 đô la).
Tin tặc cũng đang chào bán khóa giải mã chính của QNAP với giá 50 BTC (hơn 2 triệu đô la), khóa giải mã này có thể cho phép tất cả các nạn nhân bị tấn công bởi mã độc tống tiền tự giải mã các tệp của họ.
Vào cuối tháng 01/2022, QNAP đã buộc phải cập nhật chương trình cơ sở cho các thiết bị NAS để bảo vệ khách hàng trước phần mềm tống tiền DeadBolt.
Đến tháng 02/2022, nhà cung cấp giải pháp lưu trữ Asustor đã cảnh báo khách hàng của mình về làn sóng tấn công bằng mã độc tống tiền Deadbolt nhắm vào các thiết bị NAS của họ.
Hiện Censys đã báo cáo rằng số lượng thiết bị QNAP bị nhiễm DeadBolt đã lên đến đỉnh điểm vào tháng 01/2022. Cụ thể vào ngày 26/01/2022, khoảng 5.000 trong số 130.000 thiết bị QNAP NAS trực tuyến đã bị nhiễm DeadBolt. Nếu nạn nhân trả tiền chuộc, thì cuộc tấn công này sẽ thu về cho các tin tặc khoảng 4.484.700 đô la.
Vào tháng 3/2022, sau khi QNAP cập nhật chương trình cơ sở thì đã khắc phục được sự lây nhiễm, giảm thiệt hại xuống còn dưới 300 thiết bị.
Tuy nhiên, đã có một sự gia tăng trong việc lây nhiễm thiết bị QNAP trong những ngày qua. Trong một bài đăng trên blog, Censys cho biết đã có 1.146 thiết bị bị tấn công vào ngày 19/3/2022. Tại thời điểm ngày 22/3/2022, con số đó đã lên đến gần 1.500 thiết bị. Phần lớn các thiết bị bị tấn công đang sử dụng hệ điều hành QNAP QTS Linux phiên bản 5.10.60.
Dương Trường
09:00 | 17/03/2022
15:00 | 15/03/2022
08:00 | 19/04/2022
09:00 | 22/04/2022
07:00 | 20/05/2022
08:00 | 29/06/2022
13:00 | 10/03/2022
16:00 | 08/04/2022
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024