Компания по кибербезопасности Group-IB проанализировала сэмпл вируса-вымогателя DeadBolt, жертвами которого уже стали некоторые российские вузы. Злоумышленники, использующие DeadBolt, требовали выкуп в BTC.

По данным Group-IB, чаще всего жертвами программ-вымогателей становятся компании малого и среднего бизнеса, однако экспертам также стало известно о нескольких случаях атак на ведущие российские вузы, использующие системы хранения данных (NAS).

В январе этого года некоторые владельцы NAS обнаружили зашифрованные файлы с расширением .deadbolt. Тогда же издание Bleeping Computer сообщило о 3 600 зараженных устройствах. С тех пор сообщения об атаках программ-вымогателей DeadBolt появлялись регулярно, при этом страна жертвы для атаки не имела значения. 

DeadBolt шифрует NAS и требует выкуп как у пользователей, так и производителей оборудования за техническую информацию об использованной в атаке уязвимости. Сумма выкупа в среднем составляет 0.03-0.05 BTC (около $1 000) для пользователей и 10-50 BTC (от $200 000 до $1 000 000) для производителей NAS. 

Жертва автоматически получает ключ расшифровки в деталях транзакции после выплаты выкупа. По информации голландской полиции, которой удалось перехватить 155 ключей для дешифрования данных, к октябрю вымогатели атаковали уже более 20 000 устройств по всему миру.

Специалисты Group-IB рекомендуют пользователям NAS принять превентивные меры по защите. В частности, эксперты советуют регулярно обновлять прошивки NAS и настроить двухфакторную аутентификацию в учетной записи администратора.

В начале года Group-IB опубликовала отчет, согласно которому с 2018 года мошенниками было запущено более 8 000 фейковых доменов, завлекающих криптовалютных трейдеров.