Conti, DeadBolt Ransomwares Target Delta, QNAP

Dua perusahaan Taiwan dipengaruhi oleh insiden ransomware terpisah minggu ini, memaksa satu perusahaan untuk berebut memulihkan sistem yang lumpuh dan yang lain mendorong pembaruan darurat untuk mengurangi serangan terhadap pelanggannya.

Delta Electronics, perusahaan elektronik yang menyediakan produk untuk Apple, Tesla, HP dan Dell, Jumat mengungkapkan bahwa “sistem non-kritis” diserang oleh “peretas luar negeri” – serangan yang dikaitkan dengan Conti Group.

Sementara itu, penyedia peralatan penyimpanan dan jaringan Taiwan QNAP Systems memaksa pembaruan ke jaringan pelanggannya yang terpasang penyimpanan (NAS) setelah memperingatkan mereka awal pekan ini bahwa ransomware DeadBolt berada dalam mode ofensif terhadap mereka.

“DeadBolt telah secara luas menargetkan semua NAS yang terpapar ke Internet tanpa perlindungan apa pun dan mengenkripsi data pengguna untuk tebusan Bitcoin,” perusahaan mengatakan dalam sebuah pernyataan.

Serangan Mengganggu Lebih Banyak

Memang, ransomware, yang volumenya mencapai rekor h ighs pada tahun 2021, tidak menunjukkan tanda-tanda perlambatan pada tahun 2022. Faktanya, penyerang tampaknya membidik perusahaan dengan cara yang dapat menyebabkan lebih banyak gangguan dengan menciptakan efek riak di seluruh ekosistem pelanggan dan mitra teknologi mereka, memukul banyak industri di sekali dan memaksa korban untuk merespons dengan cepat, kata seorang profesional keamanan.

“Penjahat dunia maya terus menargetkan organisasi yang menyediakan layanan atau produk untuk organisasi yang lebih besar dengan harapan bahwa mereka tidak akan mengalami downtime karena serangan ransomware dan akan cenderung membayar lebih cepat , ” James McQuiggan, advokat kesadaran keamanan di firma keamanan KnowBe4, mengatakan dalam email ke Threatpost.

Memang, serangan Conti terhadap Delta Electronics – yang terjadi Jumat lalu – berpotensi memengaruhi pelanggan kelas atas yang dipasok produk di Amerika Serikat jika tidak dibendung.

Delta pejabat mengatakan dalam pernyataan mereka bahwa perusahaan bereaksi cepat terhadap serangan itu, yang telah “tidak berdampak signifikan pada operasi.” Delta bekerja sama dengan Trend Micro dan Microsoft serta pihak berwenang yang sesuai untuk menyelidiki serangan dan memulihkan sistem yang terpengaruh, menurut laporan.

Namun, outlet berita Taiwan CTWANT melukiskan gambaran yang jauh lebih mengerikan, mengklaim bahwa penyerang – diidentifikasi sebagai Conti Grup – mengenkripsi lebih dari 1.500 server dan lebih dari 12.000 dari 65.000 komputer perusahaan dan menuntut tebusan sebesar $15 juta untuk mendekripsi data.

Selanjutnya, sebuah laporan di Recorded Future’s The Record mengatakan bahwa perusahaan masih belum memulihkan sebagian besar sistemnya , menggunakan server web alternatif untuk berkomunikasi dengan pelanggan sementara situs web resminya tetap offline untuk “pemeliharaan sistem,” menurut pesan di berandanya.

Serangan yang Ditargetkan pada QNAP NAS

Sementara Delta bergulat dengan akibat serangan Conti, rekan perusahaan Taiwan QNAP telah untuk melakukan pembersihan sendiri setelah pelanggan minggu ini mulai melaporkan di papan pesan QNAP dan Twitter bahwa t layar ransomware DeadBolt muncul ketika mereka masuk ke perangkat QNAP NAS mereka.

“Saya baru saja diretas,” tweet salah satu korban, ilmuwan riset MIT dan pembawa acara podcast Lex Fridman pada hari Kamis. “Ransomware bernama DeadBolt menemukan eksploitasi di perangkat penyimpanan @QNAP_nas, mengenkripsi semua file.”
Saya baru saja diretas. Ransomware bernama DeadBolt menemukan eksploitasi di perangkat penyimpanan @QNAP_nas, mengenkripsi semua file. Mereka meminta $1.000 dari individu atau $1,8 juta dari QNAP. Saya memiliki 50tb data di sana, tidak ada yang penting atau sensitif, tetapi sangat menyakitkan. Saatnya untuk memulai yang baru. pic.twitter.com/E8ZkyIbdfp

— Lex Fridman (@lexfridman) 27 Januari 2022

Pada Jumat pagi, pencarian di Censys menunjukkan bahwa DeadBolt telah mengenkripsi 3.687 perangkat NAS. Ransomware dilaporkan menambahkan ekstensi .deadbolt ke nama file untuk mengunci pelanggan keluar.

Ransomware juga menggantikan halaman login HTML biasa perangkat dengan catatan tebusan yang menuntut 0,03 bitcoin, atau sekitar $1.100, untuk menerima kunci dekripsi dan memulihkan data.

Benar, Fridman mengatakan penyerang meminta $1.000 dari individu atau $1,8 juta dari QNAP untuk kunci dekripsi. “Saya memiliki 50 TB data di sana, tidak ada yang penting atau sensitif, tetapi sangat menyakitkan,” tweetnya. “Waktunya untuk memulai yang baru.”

Ransomware-Inspired Update

QNAP menanggapi laporan terlebih dahulu dengan meminta semua pelanggan NAS-nya untuk segera memperbarui perangkat NAS QNAP mereka ke versi firmware terbaru, versi 5.0.0.1891, dirilis pada 23 Desember. Namun, semalam pada hari Kamis, perusahaan mulai memaksa pembaruan ke semua perangkat QNAP NAS yang terpengaruh.

Meskipun perusahaan tampaknya memiliki kepentingan terbaik pelanggan dalam pikiran dengan langkah tersebut, tidak semua dari mereka senang dengan pembaruan yang tidak terduga.

“ Anda menyadari bahwa bagi mereka yang telah menerapkan QNAP di lingkungan produksi, ketika Anda sebagai vendor memaksa pembaruan yang TIDAK DIHARAPKAN pelanggan Anda, itu dapat menyebabkan pemadaman pada saat yang berpotensi buruk, gerutu salah satu pengguna bernama EvilMastermindG di Reddit QNAP papan pesan. “Lebih buruk lagi, pembaruan dapat merusak atau menghapus fungsionalitas yang diandalkan oleh pelanggan.”

Daripada memaksakan tangannya, QNAP seharusnya melakukan transparansi dan memberi tahu pelanggan dengan tepat kerentanan keamanan apa yang ada di perangkat, terlepas dari bagaimana hal itu mungkin tercermin pada perusahaan, kata pengguna.

“Yang HARUS Anda lakukan sebagai perusahaan adalah untuk secara efektif mengomunikasikan secara spesifik apa itu kerentanan keamanan, bahkan jika mereka cukup bodoh untuk membuat kalian terlihat buruk, dan kemudian biarkan mereka membuat keputusan sendiri sejauh sebagai mitigasi,” kata EvilMastermindG.

Taktik mitigasi potensial tersebut termasuk membuka Penasihat Keamanan di perangkat QNAP NAS dan memeriksa untuk melihat apakah mereka terpapar ke internet, yang berarti mereka “berisiko tinggi” diserang oleh aktor ancaman, menurut QNAP.

Perusahaan juga mengatakan bahwa pelanggan dengan perangkat NAS yang terbuka dapat menonaktifkan fungsi Port Forwarding dari router serta fungsi Universal Plug and Play dari perangkat untuk melindungi perangkat dari serangan.