Grup ransomware DeadBolt baru mengenkripsi perangkat QNAP NAS di seluruh dunia menggunakan apa yang mereka klaim sebagai kerentanan zero-day dalam perangkat lunak perangkat.
Serangan dimulai hari ini, 25 Januari, dengan perangkat QNAP tiba-tiba menemukan file mereka dienkripsi dan nama file ditambahkan dengan ekstensi file .deadbolt.
Alih-alih membuat catatan tebusan di setiap folder pada perangkat, halaman login perangkat QNAP dibajak untuk menampilkan layar yang menyatakan, “PERINGATAN: File Anda telah dikunci oleh DeadBolt,” seperti yang ditunjukkan pada gambar di bawah ini.
Layar ini memberi tahu korban bahwa mereka harus membayar 0,03 bitcoin (sekitar $ 1.100) ke alamat Bitcoin tertutup yang unik untuk setiap korban.
Setelah pembayaran dilakukan, aktor ancaman mengklaim bahwa mereka akan melakukan transaksi tindak lanjut ke alamat yang sama yang mencakup kunci dekripsi, yang dapat diambil menggunakan instruksi berikut.
Kunci dekripsi ini kemudian dapat dimasukkan ke dalam layar untuk mendekripsi file perangkat. Pada saat ini, tidak ada konfirmasi bahwa membayar uang tebusan akan mengakibatkan menerima kunci dekripsi atau bahwa pengguna akan dapat mendekripsi file.
QNAP telah mengatakan kepada BleepingComputer bahwa pengguna dapat melewati layar tebusan dan mendapatkan akses ke halaman admin mereka dengan menggunakan URL http://nas_ip:8080/cgi-bin/index.cgi atau https://nas_ip/cgi-bin/index.cgi URL.
BleepingComputer menyadari setidaknya lima belas korban serangan ransomware DeadBolt baru, tanpa wilayah tertentu yang menjadi sasaran.
Seperti semua serangan ransomware terhadap perangkat QNAP, serangan DeadBolt hanya mempengaruhi perangkat yang dapat diakses ke Internet.
Karena aktor ancaman mengklaim serangan itu dilakukan melalui kerentanan zero-day, sangat disarankan agar semua pengguna QNAP memutuskan perangkat mereka dari Internet dan menempatkannya di belakang firewall.
QNAP lebih lanjut mengatakan kepada kami bahwa Tim Respons Insiden Keamanan Produk (PSIRT) mereka sedang menyelidiki vektor serangan sekarang dan bahwa pemilik harus mengikuti langkah-langkah ini untuk melindungi data dan NAS mereka.
Penyerang menuntut 50 bitcoin untuk kunci utama
Pada layar catatan tebusan utama, ada tautan berjudul “pesan penting untuk QNAP,” yang ketika diklik, akan menampilkan pesan dari geng DeadBolt khusus untuk QNAP.
Di layar ini, geng ransomware DeadBolt menawarkan rincian lengkap dari dugaan kerentanan zero-day jika QNAP membayar mereka 5 Bitcoin senilai $ 184.000.
Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi file untuk semua korban yang terkena dampak dan info zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.
“Lakukan pembayaran bitcoin sebesar 50 BTC ke bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8,” tulis para aktor ancaman dalam sebuah pesan kepada QNAP.
Anda akan menerima kunci master dekripsi universal (dan instruksi) yang dapat digunakan untuk membuka semua file klien Anda. Selain itu, kami juga akan mengirimkan semua rincian tentang kerentanan zero-day untuk security@qnap.com.”
Geng ransomware lebih lanjut menyatakan bahwa tidak ada cara untuk menghubungi mereka selain melalui pembayaran Bitcoin.
Metode komunikasi ini adalah pendekatan yang sangat berbeda dari serangan ransomware lainnya yang biasanya memberikan beberapa bentuk komunikasi, baik melalui situs web, email, atau platform perpesanan Tor khusus.
Sumber: Bleepingcomputer
