DeadBolt ransomware telah muncul kembali dalam gelombang serangan baru terhadap QNAP yang dimulai pada pertengahan Maret dan menandakan penargetan baru perangkat penyimpanan terpasang jaringan (NAS) berbasis di Taiwan oleh ancaman baru, kata para peneliti.
Peneliti dari Censys, yang menyediakan solusi manajemen permukaan serangan, mengatakan mereka mengamati infeksi DeadBolt pada peralatan QNAP meningkat perlahan mulai 16 Maret, dengan total 373 infeksi hari itu. Jumlah itu naik menjadi 1.146 perangkat pada 19 Maret, menurut posting blog oleh peneliti keamanan senior Censys Mark Ellzey.
Serangan saat ini mengingatkan kembali ke Januari, ketika perusahaan harus mendorong pembaruan yang tidak direncanakan ke perangkat NAS-nya, yang tidak semua pelanggan menyambut. Pembaruan dimaksudkan untuk membersihkan setelah serangan DeadBolt yang menyapa pelanggan dengan layar grup ransomware ketika mereka masuk, secara efektif mengunci mereka keluar dari perangkat.
Gelombang serangan baru seolah-olah mengikuti pola yang sama seperti gelombang Januari, tetapi sebagian besar para korban menjalankan kernel QNAP QTS Linux versi 5.10.60, kata Ellzey. Itu adalah versi yang lebih baru dari pembaruan (QTS 5.0.0.1891) yang diluncurkan ke pelanggan di bulan Januari. eksploit asli yang menargetkan perangkat QNAP yang belum ditambal,” akunya.
Selain itu, infeksi baru tampaknya tidak menargetkan organisasi atau negara tertentu; mereka tampaknya terbagi rata antara pelanggan dari berbagai penyedia layanan internet konsumen, tambah Ellzey.
Déjà Vu untuk Pelanggan QNAP
Serangan tersebut berperilaku sama seperti serangan Januari sejauh yang dialami pelanggan — dan mereka meminta tebusan yang sama seperti serangan DeadBolt sebelumnya pada perangkat QNAP, kata Ellzey.
“Kecuali untuk alamat [Bitcoin] yang digunakan untuk mengirim uang tebusan, serangannya tetap sama: file cadangan dienkripsi, antarmuka administrasi web dimodifikasi, dan korban disambut dengan pesan [tebusan], ” tulisnya di postingan.
Para penyerang meminta 0,03 Bitcoin untuk kunci dekripsi, yaitu sekitar $1,223 dengan nilai tukar hari ini. Mereka juga meminta tebusan dari QNAP sendiri: 5 bitcoin atau $203.988, untuk informasi terkait kerentanan; dan 50 bitcoin, atau sekitar $2 juta, untuk kunci master untuk membuka kunci semua korban yang terkena dampak, kata Ellzey.
QNAP bukan satu-satunya perusahaan di garis bidik DeadBolt, yang pertama kali menjadi perhatian peneliti karena serangan Januari. Pada pertengahan Februari, pengguna Reddit mulai melaporkan bahwa ransomware menargetkan perangkat ASUSTOR ADM, menurut Censys.
Attack Detection
Censys peneliti menangkap gelombang terbaru serangan QNAP karena cara unik varian ransomware DeadBolt saat ini berkomunikasi dengan korban, menurut the post.
“Alih-alih mengenkripsi seluruh perangkat, yang secara efektif membuat perangkat offline (dan keluar dari lingkup Censys), ransomware hanya menargetkan direktori cadangan khusus untuk enkripsi, dan merusak antarmuka administrasi web dengan pesan informasi yang menjelaskan bagaimana menghapus infeksi,” tulis Ellzey.
Oleh karena itu, menggunakan permintaan pencarian sederhana, Censys “dapat dengan mudah menemukan perangkat yang terinfeksi yang terpapar di internet publik,” menurut post.
Bersama dengan informasi umum tentang host mana yang terinfeksi DeadBolt, para peneliti juga memperoleh dan melacak setiap alamat dompet Bitcoin unik yang digunakan sebagai tetes tebusan, tambah Ellzey d.
Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang solid tentang cara mempertahankan aset Anda dengan eBuku yang dapat diunduh GRATIS, “Cloud Security: The Forecast for 2022”. Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk kesuksesan keamanan dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web