Företaget Censys rapporterar att gisslanprogrammet Deadbolt kan vara tillbaka. Under några dagar i slutet av mars upptäckte deras skanningstjänst cirka 1 000 nya enheter från företaget QNAP som infekterats med Deadbolt. Till skillnad från de flesta andra ransomware-familjer angriper Deadbolt inte stationära och bärbara datorer i nätverket, i stället är det utvecklat för att angripa sårbara nätverksanslutna lagringsenheter direkt över internet.
När Deadbolt först upptäcktes i januari 2021 var målgruppen framför allt användare som gjorde säkerhetskopior men som inte lagt tillräckligt mycket tid och kraft på att se över och uppdatera sina inställningar och backup-rutiner.
– På en global marknad är 1 000 infekterade enheter inte särskilt många. Framtiden får därför utvisa om det här är en ny större våg av angrepp med Deadbolt. Samtidigt är det en påminnelse om att hård- och mjukvara inte räcker till om man inte också har full koll på sina inställningar. Deadbolt visar hur skadlig kod kan spridas genom ditt hem- eller företagsnätverk utan att först få fäste på din dator. I stället används Deadbolt för att injicera skadlig kod direkt på själva lagringsenheten, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.
Cyberkriminella har tidigare missbrukat en sårbarhet i produkter från QNAP. Det har gått till så att användare av misstag ställt in sin enhet för säkerhetskopiering så att webbportalen blivit tillgänglig från ”internetsidan” av nätverksanslutningen. Det är fortfarande oklart om den senaste uppgången beror på att enheter som inte uppdaterats angripits eller om individerna bakom Deadbolt tagit fram en ny variant som kringgår uppdateringar och säkerhetsinställningar.