Análisis de malware

Deadbolt ransomware: el arma real contra los dispositivos IoT

23 de marzo de por Pedro Tavares

El ransomware Deadbolt va en aumento. Más recientemente, este malware ha afectado a los dispositivos NAS de QNAP y a los dispositivos de almacenamiento conectado a la red (NAS) de ASUSTOR. Uno de los hilos más populares sobre estos ataques se puede encontrar en Reddit , donde una víctima de ransomware explica cómo identificar dispositivos dañados y derrotar este ransomware.

1: Hilo de cerrojo en Reddit ( fuente ).

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Los archivos del QNAP NAS y del dispositivo ASUSTOR han sido dañados y cifrados por el ransomware Deadbolt. Según los operadores de ransomware, la pieza maliciosa aprovecha una vulnerabilidad de día cero. Aunque hay pocos detalles sobre las causas fundamentales, ASUSTOR explicó que los dispositivos NAS se habían cifrado a través de una falla en el servidor de medios PLEX o EZ Connect que permite el acceso a los dispositivos.

2: Aviso de ASUSTOR en respuesta a los ataques de Deadbolt.

Al utilizar Shodan Dork, podemos observar que una gran cantidad de dispositivos (2834) fueron afectados por este ransomware y aún están dañados.

3: 2834 dispositivos aún dañados por el ransomware Deadbolt en el momento del análisis.

En detalle, podemos observar alrededor de 500 dispositivos geolocalizados en EE.UU., seguidos de Francia, Taiwán y Japón como los países más afectados.

Detalles del ransomware Deadbolt

El ransomware daña todos los archivos disponibles en los dispositivos y agrega la extensión .deadbolt a cada archivo durante el cifrado. La nota de rescate destaca que las víctimas deben pagar un rescate de 0,03 bitcoins (1.100 dólares) a una dirección única de Bitcoin a cambio de una clave de descifrado.

Durante su ejecución, el ransomware coloca la nota de rescate en la «página de inicio de sesión» de los dispositivos anunciando los siguientes pasos para recuperar los archivos.

4: Nota de ransomware colocada en la página de inicio de sesión de los dispositivos dañados.

Según los operadores de ransomware, se agregará una transacción de seguimiento a la misma dirección después del pago que incluye la clave de descifrado.

5: Detalles sobre el descifrado de archivos: Deadbolt ransomware.

En cuanto a los dispositivos NAS, existe un truco que puede permitir acceder a la página de inicio de sesión del dispositivo sin pasar por la nota de ransomware. En este sentido, se puede acceder a la página de administración utilizando las siguientes URL:

http://IP:8080/cgi-bin/index.cgi

o

https://IP/cgi-bin/index.cgi

Todavía puede ser visible en la nota del ransomware como un mensaje, especialmente para los diferentes proveedores. En el caso de ASUSTOR, los operadores de ransomware pueden revelar detalles sobre la vulnerabilidad de día cero si ASUSTOR les paga 7,5 BTC por valor de 290.827 dólares. Por otro lado, si se recibiera el pago de 50 BTC (1,85 millones de dólares), se enviaría una clave privada global y se podrían descifrar todos los dispositivos dañados en todo el mundo.

6: Mensaje de importación para Asustor.

A continuación también se puede observar un mensaje similar a QNAP.

7: Importar mensaje a QNAP.

Mientras profundizamos en los detalles de Deadbolt, encontramos que el ransomware funciona instalando primero un archivo binario en la carpeta /mnt/HDA_ROOT/ . Luego, el ejecutable del ransomware se inicia utilizando un archivo de configuración que contiene mucha información, incluida la clave de cifrado.

Luego, la carpeta /share en los dispositivos QNAP se cifra; esta ubicación es el lugar que almacena los archivos y carpetas de los usuarios.

Durante su ejecución, Deadbolt cifra archivos dentro de extensiones de archivo específicas. La 8 a continuación detalla todas las extensiones específicas.

8: Extensión de archivo de destino: ransomware Deadbolt.

Los archivos están cifrados con el algoritmo AES128 y la extensión .deadbolt se agrega a los nombres de los archivos. Por ejemplo, el archivo » a.png » pasará a llamarse » a.png.deadbolt » .

Cómo reparar dispositivos dañados

A primera vista, cuando se ingresa la clave de descifrado en la página de rescate, se convertirá en un hash SHA256 y se comparará con el hash de la clave de descifrado de la víctima y el hash de la clave de descifrado maestra.

El hash SHA256 para la clave de descifrado maestra es el siguiente: 93f21756aeeb5a9547cc62dea8d58581b0da4f23286f14d10559e6f89b078052.

En detalle, el siguiente script se puede utilizar para descifrar dispositivos dañados con la clave maestra de descifrado:

9: Script de descifrado del ransomware Deadbolt ( fuente ).

Sin embargo, en el caso de los dispositivos QNAP, durante las actualizaciones de firmware, se eliminan los archivos ejecutables para descifrar y la página index.html con la nota de ransomware, un escenario que impide el descifrado del sistema de archivos.

En este sentido, un experto en seguridad desarrolló un descifrado gratuito de Windows que se puede descargar desde Emsisoft. Con este ejecutable se pueden recuperar los archivos sin pagar el rescate.

10: Descifrador Deadbolt de Emsisoft.

Más detalles sobre el proceso de descifrado están aquí .

Fuentes:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *