Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for DeadBolt

DeadBolt

QNAP menambal zero-day yang digunakan dalam serangan ransomware Deadbolt baru

by

QNAP memperingatkan pelanggan tentang serangan ransomware DeadBolt yang sedang berlangsung yang dimulai pada hari Sabtu dengan mengeksploitasi kerentanan zero-day di Photo Station.

Serangan tersebar luas, dengan layanan ID Ransomware melihat lonjakan pengiriman pada hari Sabtu dan Minggu.

QNAP merilis pembaruan keamanan Photo Station 12 jam setelah DeadBolt mulai menggunakan kerentanan zero-day dalam serangan, mendesak pelanggan NAS untuk segera memperbarui Photo Station ke versi terbaru.

Pembaruan keamanan berikut memperbaiki kerentanan:

QTS 5.0.1: Stasiun Foto 6.1.2 dan yang lebih baru
QTS 5.0.0/4.5.x: Photo Station 6.0.22 dan yang lebih baru
QTS 4.3.6: Stasiun Foto 5.7.18 dan yang lebih baru
QTS 4.3.3: Stasiun Foto 5.4.15 dan yang lebih baru
QTS 4.2.6: Stasiun Foto 5.2.14 dan yang lebih baru

Atau, QNAP menyarankan pengguna mengganti Photo Station dengan QuMagie, alat manajemen penyimpanan foto yang lebih aman untuk perangkat QNAP NAS.

Menerapkan pembaruan keamanan akan mencegah ransomware DeadBolt dan pelaku ancaman lainnya mengeksploitasi kerentanan dan mengenkripsi perangkat. Namun, perangkat NAS tidak boleh diekspos secara publik ke Internet dan sebagai gantinya ditempatkan di belakang firewall.

Pelanggan QNAP dapat menemukan petunjuk terperinci tentang penerapan pembaruan yang tersedia dan pengaturan myQNAPcloud di penasihat keamanan.

Terakhir, disarankan untuk menggunakan kata sandi yang kuat pada semua akun pengguna NAS dan mengambil snapshot secara teratur untuk mencegah kehilangan data jika terjadi serangan.

Geng ransomware DeadBolt telah menargetkan perangkat NAS sejak Januari 2022, menggunakan dugaan kerentanan zero-day pada perangkat NAS yang terpapar Internet.

Operasi ransomware melakukan serangan lebih lanjut pada perangkat QNAP pada Mei dan Juni 2022.

Catatan tebusan DeadBolt
Sumber: BleepingComputer

Sebelumnya pada bulan Februari, DeadBolt mulai menargetkan perangkat ASUSTOR NAS menggunakan kerentanan zero-day yang mereka coba jual ke vendor seharga 7,5 Bitcoin.

Dalam sebagian besar serangan ini, DeadBolt menuntut pembayaran lebih dari seribu USD dari pengguna yang terkena dampak sebagai ganti decryptor yang berfungsi.

Namun, kelompok ransomware NAS lainnya menuntut jumlah yang lebih signifikan dari korban mereka.

Ransomware Checkmate menargetkan produk QNAP NAS pada bulan Juli, menuntut korban membayar $15.000.

Sumber: Bleeping Computer

Pembaruan force-install QNAP setelah ransomware DeadBolt mencapai 3.600 perangkat

by

QNAP memaksa-update perangkat Network Attached Storage (NAS) pelanggan dengan firmware yang berisi pembaruan keamanan terbaru untuk melindungi terhadap ransomware DeadBolt, yang telah mengenkripsi lebih dari 3.600 perangkat.

Pada hari Selasa, BleepingComputer melaporkan operasi ransomware baru bernama DeadBolt yang mengenkripsi perangkat QNAP NAS yang terpapar internet di seluruh dunia.

Aktor ancaman mengklaim menggunakan kerentanan zero-day untuk meretas perangkat QNAP dan mengenkripsi file menggunakan ransomware DeadBolt, yang menambahkan ekstensi .deadbolt ke nama file.

Ransomware juga akan menggantikan halaman login HTML biasa dengan catatan tebusan yang menuntut 0,03 bitcoin, senilai sekitar $ 1.100, untuk menerima kunci dekripsi dan memulihkan data.

Geng ransomware DeadBolt juga mencoba menjual rincian lengkap dari dugaan kerentanan zero-day ke QNAP untuk 5 Bitcoin, senilai $ 185.000.

Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi semua korban yang terkena dampak dan memberikan informasi tentang dugaan zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

Meskipun tidak mungkin QNAP akan memberikan permintaan pemerasan, banyak pengguna dalam topik forum dukungan DeadBolt kami telah melaporkan berhasil membayar ransomware untuk memulihkan file mereka.

QNAP memaksa-update firmware pada perangkat NAS

Keesokan harinya, QNAP mulai memperingatkan pelanggan untuk mengamankan perangkat NAS mereka yang terpapar Internet terhadap DeadBolt dengan memperbarui ke versi perangkat lunak QTS terbaru, menonaktifkan UPnP, dan menonaktifkan penerusan port.

Malam itu, QNAP mengambil tindakan yang lebih drastis dan memperbarui firmware untuk semua perangkat NAS pelanggan ke versi 5.0.0.1891, firmware universal terbaru yang dirilis pada 23 Desember 2021.

Pembaruan ini juga mencakup banyak perbaikan keamanan, tetapi hampir semuanya terkait dengan Samba, yang tidak mungkin terkait dengan serangan ini.

Pemilik QNAP dan admin TI mengatakan kepada BleepingComputer bahwa QNAP memaksa pembaruan firmware ini pada perangkat bahkan jika pembaruan otomatis dinonaktifkan.

Namun, pembaruan ini tidak berjalan tanpa hambatan, karena beberapa pemilik menemukan bahwa koneksi iSCSI mereka ke perangkat tidak lagi berfungsi setelah pembaruan.

“Hanya berpikir saya akan memberikan semua orang kepala-up. Beberapa QNAPS kami kehilangan koneksi ISCSI tadi malam. Setelah seharian bermain-main dan menarik rambut kami keluar, kami akhirnya menemukan itu karena pembaruan. Itu belum melakukannya untuk semua QNAPs yang kami kelola tetapi kami akhirnya menemukan resolusinya,” kata seorang pemilik QNAP di Reddit.

“Dalam “Storage &Snapshots > ISCSI &Fiber Channel” klik kanan pada Alias Anda (IQN) pilih “Ubah Portal Jaringan >” dan pilih adaptor yang Anda gunakan untuk ISCSI.

Pengguna lain yang telah membeli kunci dekripsi, dan sedang dalam proses dekripsi, menemukan bahwa pembaruan firmware juga menghapus ransomware executable dan layar tebusan yang digunakan untuk memulai dekripsi. Hal ini mencegah mereka dari melanjutkan proses dekripsi setelah perangkat selesai memperbarui.

“Biasanya saya bertanya apakah saya ingin memperbarui, tetapi sekarang itu tidak bertanya kepada saya. Saya hanya berdiri diam saat dekripsi sedang berlangsung dan kemudian saya mendengar bunyi bip dari NAS, dan ketika saya melihat ke dalam menu, itu bertanya kepada saya apakah saya ingin memulai ulang sekarang untuk pembaruan untuk diselesaikan, “seorang pemilik yang kesal memposting di topik dukungan DeadBolt BleepingComputer.

“Saya menekan TIDAK tetapi mengabaikan saya dan mulai menutup semua aplikasi untuk memulai ulang.”

Menanggapi banyak keluhan tentang QNAP yang memaksa pembaruan firmware, perwakilan dukungan QNAP menjawab, menyatakan itu untuk melindungi pengguna dari serangan ransomware DeadBolt yang sedang berlangsung.

Yang tidak jelas adalah mengapa pembaruan paksa ke firmware terbaru akan melindungi perangkat dari ransomware DeadBolt ketika QNAP awalnya mengatakan bahwa mengurangi paparan perangkat di Internet akan mengurangi serangan.

Salah satu kemungkinan adalah bahwa kerentanan yang lebih tua di QTS disalahgunakan untuk melanggar perangkat QNAP dan menginstal DeadBolt dan bahwa upgrade ke firmware ini patch kerentanan.

Pembaruan paksa datang terlambat

Sayangnya, langkah QNAP mungkin sudah terlambat karena peneliti keamanan CronUP dan anggota Intel Curated Germán Fernández menemukan bahwa DeadBolt telah mengenkripsi ribuan perangkat QNAP.

Mesin pencari perangkat internet Shodan melaporkan bahwa 1.160 perangkat QNAP NAS dienkripsi oleh DeadBolt. Censys, meskipun, melukiskan gambar yang jauh lebih suram, menemukan 3.687 perangkat sudah dienkripsi pada saat penulisan ini.

Baik Shodan dan Censys menunjukkan bahwa negara-negara teratas yang terkena dampak serangan ini adalah Amerika Serikat, Prancis, Taiwan, Inggris, dan Italia.

Untuk membuat keadaan menjadi lebih buruk, pemilik QNAP NAS sudah ditargetkan oleh operasi ransomware lainnya bernama Qlocker dan eCh0raix, yang terus-menerus memindai perangkat baru untuk dienkripsi.

Sumber: Bleepingcomputer

Ransomware DeadBolt Menargetkan perangkat QNAP, Meminta 50 BTC untuk Kunci Utama

by

Grup ransomware DeadBolt baru mengenkripsi perangkat QNAP NAS di seluruh dunia menggunakan apa yang mereka klaim sebagai kerentanan zero-day dalam perangkat lunak perangkat.

Serangan dimulai hari ini, 25 Januari, dengan perangkat QNAP tiba-tiba menemukan file mereka dienkripsi dan nama file ditambahkan dengan ekstensi file .deadbolt.

Alih-alih membuat catatan tebusan di setiap folder pada perangkat, halaman login perangkat QNAP dibajak untuk menampilkan layar yang menyatakan, “PERINGATAN: File Anda telah dikunci oleh DeadBolt,” seperti yang ditunjukkan pada gambar di bawah ini.

Layar ini memberi tahu korban bahwa mereka harus membayar 0,03 bitcoin (sekitar $ 1.100) ke alamat Bitcoin tertutup yang unik untuk setiap korban.

Setelah pembayaran dilakukan, aktor ancaman mengklaim bahwa mereka akan melakukan transaksi tindak lanjut ke alamat yang sama yang mencakup kunci dekripsi, yang dapat diambil menggunakan instruksi berikut.

Kunci dekripsi ini kemudian dapat dimasukkan ke dalam layar untuk mendekripsi file perangkat. Pada saat ini, tidak ada konfirmasi bahwa membayar uang tebusan akan mengakibatkan menerima kunci dekripsi atau bahwa pengguna akan dapat mendekripsi file.

QNAP telah mengatakan kepada BleepingComputer bahwa pengguna dapat melewati layar tebusan dan mendapatkan akses ke halaman admin mereka dengan menggunakan URL http://nas_ip:8080/cgi-bin/index.cgi atau https://nas_ip/cgi-bin/index.cgi URL.

BleepingComputer menyadari setidaknya lima belas korban serangan ransomware DeadBolt baru, tanpa wilayah tertentu yang menjadi sasaran.

Seperti semua serangan ransomware terhadap perangkat QNAP, serangan DeadBolt hanya mempengaruhi perangkat yang dapat diakses ke Internet.

Karena aktor ancaman mengklaim serangan itu dilakukan melalui kerentanan zero-day, sangat disarankan agar semua pengguna QNAP memutuskan perangkat mereka dari Internet dan menempatkannya di belakang firewall.

QNAP lebih lanjut mengatakan kepada kami bahwa Tim Respons Insiden Keamanan Produk (PSIRT) mereka sedang menyelidiki vektor serangan sekarang dan bahwa pemilik harus mengikuti langkah-langkah ini untuk melindungi data dan NAS mereka.

Penyerang menuntut 50 bitcoin untuk kunci utama

Pada layar catatan tebusan utama, ada tautan berjudul “pesan penting untuk QNAP,” yang ketika diklik, akan menampilkan pesan dari geng DeadBolt khusus untuk QNAP.

Di layar ini, geng ransomware DeadBolt menawarkan rincian lengkap dari dugaan kerentanan zero-day jika QNAP membayar mereka 5 Bitcoin senilai $ 184.000.

Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi file untuk semua korban yang terkena dampak dan info zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

“Lakukan pembayaran bitcoin sebesar 50 BTC ke bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8,” tulis para aktor ancaman dalam sebuah pesan kepada QNAP.

Anda akan menerima kunci master dekripsi universal (dan instruksi) yang dapat digunakan untuk membuka semua file klien Anda. Selain itu, kami juga akan mengirimkan semua rincian tentang kerentanan zero-day untuk security@qnap.com.”

Geng ransomware lebih lanjut menyatakan bahwa tidak ada cara untuk menghubungi mereka selain melalui pembayaran Bitcoin.

Metode komunikasi ini adalah pendekatan yang sangat berbeda dari serangan ransomware lainnya yang biasanya memberikan beberapa bentuk komunikasi, baik melalui situs web, email, atau platform perpesanan Tor khusus.

Sumber: Bleepingcomputer