FORGOT YOUR DETAILS?

Alert !!! Deadbolt Ransomeware

/ / Information

Ransomware merupakan jenis malicious software tertentu yang menuntut tebusan finansial dari seorang korban dengan melakukan penahanan pada aset atau data yang bersifat pribadi, sedangkan DeadBolt adalah grup atau kelompok ransomware baru yang dilaporkan mengenkripsi perangkat QNAP NAS (Network Attached Storage) di seluruh dunia. Grup tersebut mengklaim telah memanfaatkan kerentanan zero-day yang ada pada software perangkat QNAP NAS. Serangan dilaporkan pertama kali tanggal 25 Januari 2022. Perangkat QNAP secara tiba-tiba menemukan file-filenya terenkripsi dengan ektensi .deadbolt.

Dalam menjalankan aksinya, grup ransomware ini menggunakan malware dengan nama DeadBolt yang merupakan jenis cryptovirus. Setelah malware DeadBolt menyusup ke perangkat korban, ia mulai mencari semua file dalam sistem yang termasuk dalam beberapa format dan jenis yang telah ditentukan sebelumnya. Biasanya, targetnya adalah file teks, spreadsheet, presentasi, dan data dokumen lainnya, serta gambar, video, audio, dan sebagainya. Segera setelah malware menemukan semua tipe data yang telah ditentukan di perangkat, ia memulai proses enkripsi. Prosedur enkripsi mungkin memakan waktu, terutama jika komputer tidak terlalu kuat, dan jika ada banyak data yang menjadi target virus. Selama periode waktu inilah pengguna mungkin dapat melihat beberapa gejala infeksi potensial perlambatan sistem, lonjakan penggunaan RAM dan CPU, serta pembekuan sesekali seluruh sistem, dan mungkin beberapa kesalahan yang tidak biasa.

Tidak seperti ransomware lain yang meninggalkan catatan ancaman (ransom) di dalam folder/dekstop setelah berhasil mengenkripsi file korban, Deadbolt melakukan hijacking pada halaman login dengan menampilkan peringatan “WARNING: Your files have been locked by DeadBolt,”, seperti ditunjukkan pada gambar berikut :

Kunci dekripsi yang mereka berikan dapat digunakan pada layar halaman login untuk mendekripsi file. Namun, sampai sekarang ini belum ada konfirmasi yang pasti bahwa pelaku ancaman benar-benar menepati perjanjian untuk mengirimkan kunci dekripsi yang benar setelah membayar tebusan.

PRODUK TERDAMPAK

Produk QNAP NAS yang rentan akan serangan ransomware DeadBolt adalah semua perangkat QNAP yang dapat diakses melalui internet (Exposed NAS Device). Selain itu, perusahaan QNAP juga memperingatkan untuk mengamankan perangkat NAS yang terkoneksi akses internet pada 7 Januari 2022.

PANDUAN MITIGASI

Perusahaan QNAP memberikan saran kepada pelanggan yang perangkat QNAP NAS milik mereka telah terkompromi untuk melakukan tindakan sebagai berikut :

  1. Segera melakukan pembaruan software perangkat.
  2. Memutuskan koneksi internet perangkat QNAP NAS hingga dilakukan pembaruan.
  3. Melakukan proteksi terhadap perangkat QNAP NAS dengan menggunakan Firewall/perimeter keamanan lainnya dan melakukan pemantauan terhadap aktifitas anomali yang menuju perangkat tersebut.
  4. Menonaktifkan atau mematikan port dan layanan yang tidak digunakan untuk mencegah penyalahgunaan atau eksploitasi oleh pihak yang tidak bertanggung jawab.
  5. Menonaktifkan atau men-disable fungsi UPnP pada QNAP NAS dengan cara masuk ke halaman myQNAPcloud pada menu QTS, klik “Auto Router Configuration,” dan hilangkan pilihan/unselect “EnableUPnP Port forwarding.
  6. Disable fungsi Port Forwarding function pada router. Masuk ke dalam antar muka pengelolaan pada rounter anda, periksa konfigurasi Virtual Server, NAT, atau Port Forwarding settings, dan non-aktifkan konfigurasi port manajemen untuk NAS (umumnya port 8080 dan 433).
  7. Sering melakukan backup file pada media penyimpanan yang terpisah (offline) agar data tetap dapat dipulihkan ketika terkena ransomware.Pengguna juga dapat melakukan bypass halaman login yang berisi catatan ransom apabila telah terinfeksi ransomware (Gambar 1) dan mendapatkan akses ke halaman login dengan menggunakan URL http://nas_ip:8080/cgi-bin/index.cgi dan https://nas_ip/cgi-bin/index.cgi

Source : https://csirt.jatengprov.go.id/peringatan-keamanan-ransomware-deadbolt-pada-perangkat-qnap-network-attached-storage-nas/

TOP