قال Censys أن حوالي 4000 جهاز لا يزالون مصابين ببرنامج الفدية Deadbolt.
خريطة للأجهزة المصابة حول العالم.
سينسيس
لا يزال مستخدمو أجهزة التخزين المتصل بالشبكة (NAS) من QNAP يكافحون لمعالجة مجموعة من المشكلات المتصلة ببرنامج الفدية Deadbolt ، الذي بدأ في إصابة الأجهزة في وقت سابق من هذا الأسبوع .
يوم الثلاثاء ، توافد مستخدمو QNAP NAS على منتديات Reddit و QNAP للإبلاغ عن إصابات ببرامج الفدية. ذكرت Censys أنه من بين أجهزة QNAP NAS البالغ عددها 130.000 ، هناك 4988 خدمة "عرضت العلامات الواضحة لهذه القطعة المحددة من برامج الفدية".
بعد ظهر يوم الجمعة ، قامت Censys بتحديث تقريرها ، حيث أخبرت Mulkhas أنه بين عشية وضحاها ، انخفض عدد الأجهزة المصابة بفيروس الفدية المكشوفة بنسبة 1061 إلى 3927.
قال متحدث باسم Censys ، "سبب هذا الانخفاض يمكن أن يكون لعدد من الأسباب ، ما زلنا نحقق لمعرفة ما إذا كان بإمكاننا تحديد السبب وراء ذلك" ، معتبراً أن الانخفاض يمكن أن يُعزى إلى تحديث قسري من QNAP.
يوم الأربعاء ، حث QNAP المستخدمين في البداية على التحديث إلى أحدث إصدار من QTS ، وهو نظام تشغيل قائم على Linux طورته الشركة التايوانية ليعمل على أجهزتهم.
لكن MalwareBytes قالت إن QNAP دفع تحديثًا إجباريًا تلقائيًا بالبرامج الثابتة يوم الخميس يحتوي على آخر تحديثات الأمان.
وأوضح MalwareBytes: "في وقت لاحق من ذلك اليوم ، اتخذ QNAP إجراءات أكثر صرامة وقام بتحديث البرامج الثابتة لجميع أجهزة NAS للعملاء إلى الإصدار 5.0.0.1891 ، وهو أحدث برنامج ثابت عالمي متاح منذ 23 ديسمبر 2021".
"كما قد تتوقع بعد التحديث الإجباري ، ظهر عدد من الآثار الجانبية غير المتوقعة ... أزال تحديث البرنامج الثابت ملف الفدية القابل للتنفيذ وشاشة الفدية المستخدمة لبدء فك التشفير ، مما تسبب على ما يبدو في عدم تمكن بعض الضحايا الذين دفعوا الفدية لمتابعة فك تشفير الملفات بعد التحديث. "
رد QNAP على الجدل حول التحديث الإجباري على Reddit. أوضح ممثل الشركة سبب قرارهم فرض التحديث ، مشيرًا إلى أنها كانت تحث المستخدمين على تحديث أنظمتهم منذ 7 يناير.
"في QTS ، كانت هناك رسالة في لوحة التحكم / التحديث التلقائي مفادها أن" بطل QTS / QuTS سيمكّن تحديث الإصدار الموصى به قريبًا لحماية ناس من deadbolt. " ولكن أعتقد أن الكثير من الأشخاص لم يروا هذه الرسالة. نحن نحاول زيادة الحماية ضد deadbolt. إذا تم تمكين التحديث الموصى به ضمن التحديث التلقائي ، فبمجرد أن يكون لدينا تصحيح أمان ، يمكن تطبيقه على الفور ، " قال المتحدث باسم الشركة.
قوبلت الرسالة بعدة ردود غاضبة من الأشخاص الذين قالوا إن التحديث الإجباري تسبب في عدد من مشكلات المصب . قال آخرون إن الأمر يتعلق بامتلاك الشركة باب خلفي في أنظمتهم ، بينما قال البعض إن التحديث الإجباري لم يفعل شيئًا يذكر لمعالجة مشكلات الأشخاص الذين أصيبوا بالفعل بـ Deadbolt.
حتى مع التحديث ، أكد مستخدم واحد على الأقل تعرضه لضرب Deadbolt أثناء استخدام 5.0.0.1891 build 20211221 على تلفزيونات 1282t3. لم يؤكد QNAP أو ينفي وجود ثغرة أخرى يتم استغلالها ، وفقًا لـ Bleeping Computer .
قال ألان ليسكا ، خبير فيروسات الفدية المسجلة فيوتشر ، إن هذا النوع من برامج الفدية المتخصصة يصعب الدفاع عنه وأثنى على QNAP لإصداره دليلاً مفصلاً لتأمين الجهاز في وقت سابق من هذا الشهر.
قال ليسكا: "من الصعب الدفاع ضد الجهاز لأن الجهاز مسيطر عليه من قبل الشركة المصنعة. ما لم تكن شركة لديها الموارد لتمكين الضوابط التعويضية ، فأنت إلى حد كبير تحت رحمة البائع".
"بالنسبة إلى معظم أجهزة إنترنت الأشياء ، لا يهم هذا كثيرًا. إذا أطلق شخص ما هجومًا ببرنامج الفدية ضد مصابيح الإضاءة الخاصة بي ، يمكنني إعادة تعيين ومتابعة حياتي. ولكن عندما تحتفظ أجهزة إنترنت الأشياء هذه بجميع بياناتك ، مسألة مختلفة."
قضايا فك التشفير
أصدرت شركة الأمن Emsisoft نسختها الخاصة من برنامج فك التشفير بعد أن أبلغ العديد من الضحايا عن وجود مشكلات مع برنامج فك التشفير الذي تلقوه بعد دفع فدية. حتى أن بعض المستخدمين قالوا إنهم لم يحصلوا على برنامج فك تشفير بعد دفع الفدية ، بينما قال آخرون إن جهاز فك التشفير معطل.
لسوء الحظ ، يتطلب فك تشفير Emsisoft من المستخدمين دفع الفدية بالفعل وتلقي مفاتيح فك التشفير من مشغلي Deadbolt ransomware.
تنص مذكرة فدية Deadbolt على أن الضحايا يجب أن يدفعوا 0.03 BTC (ما يعادل 1،100 دولار أمريكي) لفتح أجهزتهم المخترقة وأن هذا "ليس هجومًا شخصيًا". عرضوا منح QNAP أداة فك تشفير عالمية مقابل 50 بيتكوين.
أخبر بريت كالو من Emsisoft Mulkhas أن الموقف كان مشابهًا لهجوم REvil على Kaseya في أنه في كلتا الحالتين ، طلب ممثل التهديد مدفوعات صغيرة نسبيًا من الضحايا الأفراد بالإضافة إلى تزويد الشركة بخيار لتسوية مبلغ أكبر بكثير نيابة عن عملائهم المتضررين.
قال كالو: "الاستراتيجية منطقية لأنها تزيد من احتمالية تحقيق الدخل من الهجوم. واجه المستخدمون الذين دفعوا الطلب مشاكل بعد التحديث الإجباري لـ QNAP ، قاموا بإزالة برنامج الفدية القابل للتنفيذ مما يجعل فك التشفير مستحيلًا. وهذا أحد الأسباب التي دفعتنا إلى إطلاق برنامج فك التشفير".
قال ليسكا إن مجموعات برامج الفدية تشتهر بتقديم برامج فك تشفير رديئة ، وأشار إلى أنه ليس من غير المألوف أن تأخذ فرق الاستجابة للحوادث المفتاح الذي قدمته مجموعة برامج الفدية وتتجاهل رمز فك التشفير.
وأوضح ليسكا أن "سبب قيام Emsisoft بإطلاق برنامج فك التشفير هو التأكد من أن الضحايا لديهم شيء يعرفون أنه سيعمل بمجرد حصولهم على المفتاح".
كما انتقد ليسكا الأشخاص الذين يقفون وراء الهجوم ، مشكوكًا في إصرارهم على أن الهجوم ليس "شخصيًا".
"إنه هجوم شخصي. غالبًا ما يتم تخزين حياتهم الرقمية على هذه الأجهزة. سواء كانت الصور أو العمل أو الكتاب الذي كانوا يكتبونه أو البرنامج الذي طوروه ، فهذه الأشياء مهمة لهم. والمهاجمون فقط أخذوا ذلك بعيدًا عنهم "، أضاف ليسكا.
"يمكن للمهاجم أن يلبس الأمر على أنه" أمن البائع الضعيف "كل ما يريده ، لكنه مجرد علامة على أنهم أناس فظيعون لا يهتمون بإخوانهم من البشر."
