Cyberthreat.id - Produsen alat penyimpanan data yang terhubung ke jaringan QNAP memperbarui paksa perangkat Network Attached Storage (NAS) pelanggan dengan firmware yang berisi pembaruan keamanan terbaru untuk melindungi perangkat dari ransomware DeadBolt, yang telah mengenkripsi lebih dari 3.600 di seluruh dunia.

Seperti diketahui, NAS adalah media penyimpanan data yang dihubungkan ke jaringan, memberi kemudahan back-up dan akses data. File dapat diakses dari smartphone, tablet atau PC di mana pun lantaran terhubung ke internet.

Sebelumnya, ketika beberapa pengguna melaporkan data mereka telah dienkripsi oleh ransomware DeadBolt pada hari Selasa, QNAP memperingatkan pelanggan untuk mengamankan perangkat NAS yang terpapar Internet dari DeadBolt dengan memperbarui perangkat lunak sistem operasi QTS ke versi terbaru, menonaktifkan UPnP, dan menonaktifkan penerusan port.

Malamnya, seperti dilaporkan Bleeping Computer, QNAP mengambil tindakan yang lebih drastis dan memperbarui firmware secara paksa untuk semua perangkat NAS pelanggan ke versi 5.0.0.1891, firmware universal terbaru yang dirilis pada 23 Desember 2021.

Pembaruan ini juga menyertakan banyak perbaikan keamanan, tetapi hampir semuanya terkait dengan Samba, yang kemungkinan tidak terkait dengan serangan ini.

Pemilik QNAP dan admin TI memberi tahu bahwa QNAP memaksa pembaruan firmware ini pada perangkat meskipun pembaruan otomatis dinonaktifkan.

Namun, pembaruan ini tidak berjalan tanpa hambatan, karena beberapa pemilik menemukan bahwa koneksi iSCSI mereka ke perangkat tidak lagi berfungsi setelah pembaruan.

"Hanya berpikir saya akan memberi tahu semua orang. Beberapa QNAP kami kehilangan koneksi ISCSI tadi malam. Setelah seharian mengutak-atik, kami akhirnya menemukan itu karena pembaruan. Itu belum berhasil untuk semua dari QNAP yang kami kelola tetapi akhirnya kami menemukan resolusinya," kata seorang pemilik QNAP di Reddit.

"Dalam "Storage & Snapshots > ISCSI & Fibre Channel" klik kanan pada Alias ​​​​(IQN) Anda, pilih "Modify > Network Portal" dan pilih adaptor yang Anda gunakan untuk ISCSI."

Pengguna lain yang telah membeli kunci dekripsi, dan sedang dalam proses dekripsi, menemukan bahwa pembaruan firmware juga menghapus executable ransomware dan layar permintaan tebusan yang digunakan untuk memulai dekripsi. Ini mencegah mereka melanjutkan proses dekripsi setelah perangkat selesai diperbarui.

"Biasanya menanyakan apakah saya ingin memperbarui, tetapi sekarang tidak bertanya kepada saya. Saya hanya berdiri diam saat dekripsi sedang berlangsung dan kemudian saya mendengar bunyi bip dari NAS, dan ketika saya melihat menu, itu bertanya apakah saya ingin memulai ulang sekarang untuk menyelesaikan pembaruan," seorang pemilik yang kesal memposting di topik dukungan DeadBolt BleepingComputer.

"Saya menekan NO tetapi itu mengabaikan saya dan mulai menutup semua aplikasi untuk memulai kembali."

Menanggapi banyak keluhan tentang QNAP yang memaksa pembaruan firmware, perwakilan dukungan QNAP menjawab, menyatakan itu untuk melindungi pengguna dari serangan ransomware DeadBolt yang sedang berlangsung.

"Saya tahu ada argumen dua arah, apakah kita harus melakukan ini atau tidak. Ini adalah keputusan yang sulit untuk dibuat. Tetapi karena kebuntuan dan keinginan kami untuk menghentikan serangan ini sesegera mungkin, kami melakukan ini," ujar perwakilan QNAP.

Yang tidak jelas adalah mengapa pembaruan paksa ke firmware terbaru akan melindungi perangkat dari ransomware DeadBolt, padahal awalnya QNAP mengatakan bahwa mengurangi paparan perangkat di Internet akan mengurangi serangan.

Salah satu kemungkinannya adalah kerentanan lama di QTS disalahgunakan oleh penyerang untuk menembus perangkat QNAP dan menginstal DeadBolt dan bahwa peningkatan ke firmware ini menambal kerentanan.

Pembaruan paksa datang terlambat

Sayangnya, langkah QNAP mungkin terlambat karena peneliti keamanan CronUP dan anggota Curated Intel Germán Fernández menemukan bahwa DeadBolt telah mengenkripsi ribuan perangkat QNAP.  

Mesin pencari perangkat internet Shodan melaporkan bahwa 1.160 perangkat QNAP NAS telah dienkripsi oleh DeadBolt. Sementara Censys, memberi gambaran yang jauh lebih suram, menemukan 3.687 perangkat sudah dienkripsi pada saat penulisan ini. Jumlahnya bisa jadi akan terus bertambah.

Baik Shodan maupun Censys menunjukkan bahwa negara-negara teratas yang terkena dampak serangan ini adalah Amerika Serikat, Prancis, Taiwan, Inggris, dan Italia.

Lebih buruk lagi, pemilik QNAP NAS sudah menjadi sasaran operasi ransomware lain bernama Qlocker dan eCh0raix, yang terus-menerus memindai perangkat baru untuk dienkripsi.

Dalam pesan kepada QNAP, aktor di balik ransomware Deadbolt mengatakan mereka bersedia menjual kunci dekripsi utama yang dapat mendekripsi file untuk semua korban yang terkena dampak dan info zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

"Lakukan pembayaran bitcoin sebesar 50 BTC ke bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8," tulis pelaku ancaman dalam pesan ke QNAP.

"Anda akan menerima kunci master dekripsi universal (dan instruksi) yang dapat digunakan untuk membuka kunci semua file klien Anda. Selain itu, kami juga akan mengirimkan semua detail tentang kerentanan zero-day ke security@qnap.com."[]