Kể từ tháng 01/2022, mã độc tống tiền này đã nhắm mục tiêu đến các thiết bị QNAP NAS trên toàn thế giới và cho phép tin tặc thực hiện mã hóa nội dung của các hệ thống bị nhiễm. Sau khi mã hóa nội dung của thiết bị, mã độc tống tiền sẽ gắn vào đuôi .deadboltextension đối với tên của các tệp được trích dẫn và hiển thị trên trang đăng nhập của QNAP NAS với thông báo sau:
Cảnh báo tệp đã bị khóa bởi DeadBolt
Màn hình đăng nhập QNAP bị xâm nhập và hiển thị thông báo đòi tiền chuộc yêu cầu thanh toán 0,03 BTC tiền chuộc (khoảng 1.277 đô la) để nhận được khóa giải mã để khôi phục các tệp.
Thông báo đòi tiền chuộc cũng bao gồm một liên kết có tiêu đề “thông điệp quan trọng đối với QNAP” và trỏ đến một trang cung cấp chi tiết kỹ thuật về lỗ hổng zero-day được cho là nằm trong thiết bị QNAP NAS với giá 5 BTC (khoảng 212.000 đô la).
Tin tặc cũng đang chào bán khóa giải mã chính của QNAP với giá 50 BTC (hơn 2 triệu đô la), khóa giải mã này có thể cho phép tất cả các nạn nhân bị tấn công bởi mã độc tống tiền tự giải mã các tệp của họ.
Vào cuối tháng 01/2022, QNAP đã buộc phải cập nhật chương trình cơ sở cho các thiết bị NAS để bảo vệ khách hàng trước phần mềm tống tiền DeadBolt.
Đến tháng 02/2022, nhà cung cấp giải pháp lưu trữ Asustor đã cảnh báo khách hàng của mình về làn sóng tấn công bằng mã độc tống tiền Deadbolt nhắm vào các thiết bị NAS của họ.
Hiện Censys đã báo cáo rằng số lượng thiết bị QNAP bị nhiễm DeadBolt đã lên đến đỉnh điểm vào tháng 01/2022. Cụ thể vào ngày 26/01/2022, khoảng 5.000 trong số 130.000 thiết bị QNAP NAS trực tuyến đã bị nhiễm DeadBolt. Nếu nạn nhân trả tiền chuộc, thì cuộc tấn công này sẽ thu về cho các tin tặc khoảng 4.484.700 đô la.
Vào tháng 3/2022, sau khi QNAP cập nhật chương trình cơ sở thì đã khắc phục được sự lây nhiễm, giảm thiệt hại xuống còn dưới 300 thiết bị.
Tuy nhiên, đã có một sự gia tăng trong việc lây nhiễm thiết bị QNAP trong những ngày qua. Trong một bài đăng trên blog, Censys cho biết đã có 1.146 thiết bị bị tấn công vào ngày 19/3/2022. Tại thời điểm ngày 22/3/2022, con số đó đã lên đến gần 1.500 thiết bị. Phần lớn các thiết bị bị tấn công đang sử dụng hệ điều hành QNAP QTS Linux phiên bản 5.10.60.
Dương Trường
09:00 | 17/03/2022
15:00 | 15/03/2022
08:00 | 19/04/2022
09:00 | 22/04/2022
07:00 | 20/05/2022
08:00 | 29/06/2022
13:00 | 10/03/2022
16:00 | 08/04/2022
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
10:00 | 06/12/2023
Các cơ quan chính phủ ở Trung Đông hiện đang là mục tiêu của các chiến dịch tấn công lừa đảo mới được nhóm tin tặc TA402 triển khai để phân phối phần mềm độc hại có tên là IronWind. Bài viết này sẽ làm rõ các chiến dịch tấn công này dựa trên những phát hiện mới đây của công ty an ninh mạng Proofpoint (Mỹ).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
