QNAP memaksa-update perangkat Network Attached Storage (NAS) pelanggan dengan firmware yang berisi pembaruan keamanan terbaru untuk melindungi terhadap ransomware DeadBolt, yang telah mengenkripsi lebih dari 3.600 perangkat.
Pada hari Selasa, BleepingComputer melaporkan operasi ransomware baru bernama DeadBolt yang mengenkripsi perangkat QNAP NAS yang terpapar internet di seluruh dunia.
Aktor ancaman mengklaim menggunakan kerentanan zero-day untuk meretas perangkat QNAP dan mengenkripsi file menggunakan ransomware DeadBolt, yang menambahkan ekstensi .deadbolt ke nama file.
Ransomware juga akan menggantikan halaman login HTML biasa dengan catatan tebusan yang menuntut 0,03 bitcoin, senilai sekitar $ 1.100, untuk menerima kunci dekripsi dan memulihkan data.
Geng ransomware DeadBolt juga mencoba menjual rincian lengkap dari dugaan kerentanan zero-day ke QNAP untuk 5 Bitcoin, senilai $ 185.000.
Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi semua korban yang terkena dampak dan memberikan informasi tentang dugaan zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.
Meskipun tidak mungkin QNAP akan memberikan permintaan pemerasan, banyak pengguna dalam topik forum dukungan DeadBolt kami telah melaporkan berhasil membayar ransomware untuk memulihkan file mereka.
QNAP memaksa-update firmware pada perangkat NAS
Keesokan harinya, QNAP mulai memperingatkan pelanggan untuk mengamankan perangkat NAS mereka yang terpapar Internet terhadap DeadBolt dengan memperbarui ke versi perangkat lunak QTS terbaru, menonaktifkan UPnP, dan menonaktifkan penerusan port.
Malam itu, QNAP mengambil tindakan yang lebih drastis dan memperbarui firmware untuk semua perangkat NAS pelanggan ke versi 5.0.0.1891, firmware universal terbaru yang dirilis pada 23 Desember 2021.
Pembaruan ini juga mencakup banyak perbaikan keamanan, tetapi hampir semuanya terkait dengan Samba, yang tidak mungkin terkait dengan serangan ini.
Pemilik QNAP dan admin TI mengatakan kepada BleepingComputer bahwa QNAP memaksa pembaruan firmware ini pada perangkat bahkan jika pembaruan otomatis dinonaktifkan.
Namun, pembaruan ini tidak berjalan tanpa hambatan, karena beberapa pemilik menemukan bahwa koneksi iSCSI mereka ke perangkat tidak lagi berfungsi setelah pembaruan.
“Hanya berpikir saya akan memberikan semua orang kepala-up. Beberapa QNAPS kami kehilangan koneksi ISCSI tadi malam. Setelah seharian bermain-main dan menarik rambut kami keluar, kami akhirnya menemukan itu karena pembaruan. Itu belum melakukannya untuk semua QNAPs yang kami kelola tetapi kami akhirnya menemukan resolusinya,” kata seorang pemilik QNAP di Reddit.
“Dalam “Storage &Snapshots > ISCSI &Fiber Channel” klik kanan pada Alias Anda (IQN) pilih “Ubah Portal Jaringan >” dan pilih adaptor yang Anda gunakan untuk ISCSI.
Pengguna lain yang telah membeli kunci dekripsi, dan sedang dalam proses dekripsi, menemukan bahwa pembaruan firmware juga menghapus ransomware executable dan layar tebusan yang digunakan untuk memulai dekripsi. Hal ini mencegah mereka dari melanjutkan proses dekripsi setelah perangkat selesai memperbarui.
“Biasanya saya bertanya apakah saya ingin memperbarui, tetapi sekarang itu tidak bertanya kepada saya. Saya hanya berdiri diam saat dekripsi sedang berlangsung dan kemudian saya mendengar bunyi bip dari NAS, dan ketika saya melihat ke dalam menu, itu bertanya kepada saya apakah saya ingin memulai ulang sekarang untuk pembaruan untuk diselesaikan, “seorang pemilik yang kesal memposting di topik dukungan DeadBolt BleepingComputer.
“Saya menekan TIDAK tetapi mengabaikan saya dan mulai menutup semua aplikasi untuk memulai ulang.”
Menanggapi banyak keluhan tentang QNAP yang memaksa pembaruan firmware, perwakilan dukungan QNAP menjawab, menyatakan itu untuk melindungi pengguna dari serangan ransomware DeadBolt yang sedang berlangsung.
Yang tidak jelas adalah mengapa pembaruan paksa ke firmware terbaru akan melindungi perangkat dari ransomware DeadBolt ketika QNAP awalnya mengatakan bahwa mengurangi paparan perangkat di Internet akan mengurangi serangan.
Salah satu kemungkinan adalah bahwa kerentanan yang lebih tua di QTS disalahgunakan untuk melanggar perangkat QNAP dan menginstal DeadBolt dan bahwa upgrade ke firmware ini patch kerentanan.
Pembaruan paksa datang terlambat
Sayangnya, langkah QNAP mungkin sudah terlambat karena peneliti keamanan CronUP dan anggota Intel Curated Germán Fernández menemukan bahwa DeadBolt telah mengenkripsi ribuan perangkat QNAP.
Mesin pencari perangkat internet Shodan melaporkan bahwa 1.160 perangkat QNAP NAS dienkripsi oleh DeadBolt. Censys, meskipun, melukiskan gambar yang jauh lebih suram, menemukan 3.687 perangkat sudah dienkripsi pada saat penulisan ini.
Baik Shodan dan Censys menunjukkan bahwa negara-negara teratas yang terkena dampak serangan ini adalah Amerika Serikat, Prancis, Taiwan, Inggris, dan Italia.
Untuk membuat keadaan menjadi lebih buruk, pemilik QNAP NAS sudah ditargetkan oleh operasi ransomware lainnya bernama Qlocker dan eCh0raix, yang terus-menerus memindai perangkat baru untuk dienkripsi.
Sumber: Bleepingcomputer
