21.10.2022  Обзоры, Безопасность, Итоги и тенденции, Серверы и системы хранения, Сети и телекоммуникации, Управление данными, Управление ИТ-системами, Управление рисками

Криминалисты Group-IB, одного из мировых лидеров в сфере кибербезопасности, успешно проанализировали образец программы-вымогателя DeadBolt, полученный в ходе одного из реагирований в России. Чаще всего жертвами вымогателей становятся компании малого и среднего бизнеса, однако экспертам Group-IB известно о нескольких случаях атак на ведущие российские вузы. Группа DeadBolt интересна тем, что шифрует исключительно системы хранения данных (NAS, Network Attached Storage), требуя выкуп как у пользователей, так и производителей оборудования за техническую информацию об использованной в атаке уязвимости. Сумма выкупа составляет 0,03–0,05 BTC (менее $1000) для пользователей и 10–50 BTC (от $200 000 до $1 000 000) для производителей NAS. Любопытно, что жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа автоматически: вымогатели не вступают с ней в контакт. Сама группа активна как минимум с начала 2022 года — по данным Bleeping Computer только в январе DeadBolt удалось заразить 3600 устройств NAS. По информации голландской полиции, которой удалось перехватить 155 ключей для дешифрования данных, к октябрю 2022 года вымогатели атаковали более 20 000 устройств по всему миру. Команда реагирования Group-IB провела расследование инцидента, связанного с атакой DeadBolt, и проанализировала использованный в ней сэмпл программы-вымогателя. В этом блоге мы представляем первый полноценный анализ шифровальщика DeadBolt с полной декомпиляцией программного кода. Используя ... читать далее.