Cyberthreat.id - Apakah Anda pengguna perangkat penyimpanan data yang terhubung ke jaringan QNAP NAS  (Network Attached System )? Jika iya, berhati-hatilah. Sebab, grup ransomware Deadbolt dikabarkan telah mengenkripsi perangkat QNAP NAS di seluruh dunia memanfaatkan apa yang mereka klaim sebagai kerentanan zero-day dalam perangkat lunak perangkat.

Seperti dilansir Bleeping Computer, serangan dimulai pada 25 Januari lalu. Pada perangkat yang terinfeksi, filenya dienkripsi dan nama file ditambahkan dengan ekstensi .deadbolt.

Penyerang kemudian membajak halaman login perangkat QNAP untuk menampilkan pesan "PERINGATAN: File Anda telah dikunci oleh Deadbolt."

Korban kemudian diminta membayar 0,03 bitcoin (sekitar $1.100) ke alamat Bitcoin yang berbeda untuk setiap korban.

Setelah pembayaran dilakukan, pelaku mengklaim akan mengirimkan kunci dekripsi untuk membuka file yang terkunci. Saat ini belum ada laporan lebih lanjut apakah mereka yang membayar benar-benar telah mendapat kunci dekripsinya.

Dalam pernyataannya, QNAP mengatakan  pengguna dapat melewati layar tebusan dan mendapatkan akses ke halaman admin mereka dengan menggunakan URL http://nas_ip:8080/cgi-bin/index.cgi atau https://nas_ip/cgi-bin/index.cgi.

Dari informasi yang berkembang di forum diskusi QNAP,  setidaknya ada lima belas korban serangan ransomware DeadBolt, tanpa wilayah tertentu yang ditargetkan.

Seperti semua serangan ransomware terhadap perangkat QNAP, serangan DeadBolt hanya memengaruhi perangkat yang terhubung ke Internet.

Karena pelaku ancaman mengklaim serangan dilakukan melalui kerentanan zero-day, sangat disarankan agar semua pengguna QNAP memutuskan perangkat mereka dari internet dan menempatkannya di balik firewall.

QNAP mengatakan Tim Respons Insiden Keamanan Produk (PSIRT) mereka sekarang sedang menyelidiki vektor serangan dan pemilik harus mengikuti langkah-langkah ini untuk melindungi data dan NAS mereka.

Dengan pemilik QNAP menjadi sasaran serangan berkelanjutan dari dua keluarga ransomware lain yang dikenal sebagai Qlocker dan eCh0raix, semua pemilik harus mengikuti langkah-langkah ini untuk mencegah serangan di masa mendatang.

Penyerang meminta 50 bitcoin untuk kunci master

Pada layar utama ransom note, terdapat link berjudul “important message for QNAP” yang ketika diklik akan menampilkan pesan dari geng DeadBolt khusus untuk QNAP. Geng ransomware DeadBolt menawarkan rincian lengkap dugaan kerentanan zero-day jika QNAP membayar mereka 5 Bitcoin senilai $184.000.

Mereka juga bersedia menjual kepada QNAP kunci dekripsi utama yang dapat mendekripsi file untuk semua korban yang terkena dampak dan info zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

"Lakukan pembayaran bitcoin sebesar 50 BTC ke bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8," tulis pelaku ancaman dalam pesan ke QNAP.

"Anda akan menerima kunci master dekripsi universal (dan instruksi) yang dapat digunakan untuk membuka kunci semua file klien Anda. Selain itu, kami juga akan mengirimkan semua detail tentang kerentanan zero-day ke security@qnap.com."

Geng ransomware lebih lanjut menyatakan bahwa tidak ada cara untuk menghubungi mereka selain melalui pembayaran Bitcoin.

Metode komunikasi ini adalah pendekatan yang sangat berbeda dari serangan ransomware lain yang biasanya menyediakan beberapa bentuk komunikasi, baik melalui situs web Tor khusus, email, atau platform perpesanan.

Seperti diketahui, NAS atau  Network Attach Storage adalah media penyimpanan data yang dihubungkan ke jaringan,
memberi kemudahan back-up dan akses data. File dapat diakses dari smartphone, tablet atau PC di mana pun lantaran terhubung ke internet.[]