Ransomware Baru Menargetkan Perangkat Network Attached Storage (NAS) - Otak Kita

Ransomware Baru Menargetkan Perangkat Network Attached Storage (NAS)



Otak Kita - Keluarga ransomware baru ditemukan menargetkan perangkat Network Attached Storage (NAS) berbasis Linux yang dibuat oleh QNAP Systems yang berbasis di Taiwan dan menahan sandera data penting pengguna sampai tebusan dibayarkan, kata para peneliti kepada The Hacker News.

Ideal untuk bisnis rumahan dan kecil, perangkat NAS adalah unit penyimpanan file khusus yang terhubung ke jaringan atau melalui Internet, yang memungkinkan pengguna untuk menyimpan dan berbagi data dan cadangan dengan banyak komputer.

Ditemukan secara independen oleh para peneliti di dua perusahaan keamanan yang terpisah, Intezer dan Anomali, keluarga ransomware baru menargetkan server NAS QNAP yang dilindungi dengan buruk atau rentan, baik dengan memaksa memaksa kredensial SSH yang lemah atau mengeksploitasi kelemahan yang diketahui.

Dijuluki " QNAPCrypt " oleh Intezer dan " eCh0raix " oleh Anomali, ransomware baru ditulis dalam bahasa pemrograman Go dan mengenkripsi file dengan ekstensi yang ditargetkan menggunakan enkripsi AES dan menambahkan ekstensi .encrypt ke masing-masing.

Namun, jika perangkat NAS yang dikompromikan terletak di Belarus, Ukraina, atau Rusia, ransomware mengakhiri proses enkripsi file dan keluar tanpa membahayakan file.

Selain itu, nanti dalam artikel ini, kami juga menjelaskan bagaimana para peneliti mengambil keuntungan dari kelemahan logis dalam infrastruktur ransomware yang memungkinkan mereka untuk menghentikan malware ini dari menginfeksi korban baru sementara.


Setelah eksekusi, ransomware pengenkripsi file pertama kali terhubung ke server perintah-dan-kendali jarak jauh, dilindungi di belakang jaringan Tor, menggunakan proxy SOCKS5 Tor untuk memberi tahu penyerang tentang korban baru.

"Berdasarkan analisis, jelas bahwa proxy telah diatur oleh pembuat malware untuk menyediakan akses jaringan Tor ke malware tanpa menyertakan fungsionalitas Tor dalam malware," kata para peneliti Anomali.

Sebelum mengenkripsi file, ransomware meminta alamat dompet bitcoin yang unik, tempat para korban diminta untuk mentransfer jumlah tebusan, dari server C&C milik penyerang yang berisi daftar yang telah ditentukan dari alamat bitcoin yang sudah dibuat.


Jika server kehabisan alamat bitcoin unik, ransomware tidak melanjutkan untuk mengenkripsi file dan menunggu penyerang membuat dan memberikan alamat baru.

Yang menarik, para peneliti di Intezer mengambil keuntungan dari mekanisme ini dan menciptakan sebuah skrip yang memungkinkan mereka untuk menipu server C&C penyerang untuk menetapkan semua alamat bitcoin yang tersedia untuk ratusan korban virtual, sehingga memblokir ransomware dari mengenkripsi file untuk korban baru yang sah.

"Karena penulis di balik ransomware ini memberikan satu dompet Bitcoin per korban dari kumpulan statis dari dompet yang telah dibuat, kami dapat mereplikasi paket infeksi untuk mengambil semua dompet sampai mereka tidak memiliki dompet lebih lanjut di bawah kendali mereka," kata Intezer.

"Kami dapat mengumpulkan total 1.091 dompet unik yang dimaksudkan untuk dikirimkan kepada para korban baru yang didistribusikan di antara 15 kampanye yang berbeda."

Jika ransomware mendapatkan dompet bitcoin uniknya, itu menghasilkan string acak 32-karakter untuk membuat kunci rahasia AES-256 dan kemudian menggunakannya untuk mengenkripsi semua file yang disimpan pada perangkat NAS yang ditargetkan dengan algoritma AES dalam Mode Umpan Balik Cipher (CFB), menghapus file asli.


Karena modul enkripsi menggunakan paket matematika untuk menghasilkan kunci rahasia, Anomali mengatakan kemungkinan bagi para peneliti untuk menulis decryptor untuk keluarga ransomware baru karena fungsinya tidak sepenuhnya acak.

"Malware menginisialisasi halaman matematika acak dengan benih waktu saat ini. Karena menggunakan paket matematika untuk menghasilkan kunci rahasia, itu tidak acak secara kriptografi, dan kemungkinan untuk menulis dekripsi," kata para peneliti Anomali.

"Aktor ancaman menargetkan perangkat QNAP NAS yang digunakan untuk penyimpanan file dan cadangan. Tidak umum bagi perangkat ini untuk menjalankan produk antivirus, dan saat ini, sampel hanya terdeteksi oleh 2-3 produk di VirusTotal, yang memungkinkan ransomware untuk lari tanpa hambatan. "

Para peneliti juga mencatat bahwa sebelum mengenkripsi file yang disimpan pada perangkat NAS yang ditargetkan, ransomware juga berupaya untuk membunuh daftar proses tertentu, termasuk apache2, httpd, nginx, MySQL, mysql, dan PostgreSQL.

Sebagai pengingat, kami mendesak pengguna untuk tidak, secara tidak sadar atau tidak perlu, menghubungkan perangkat NAS mereka secara langsung ke Internet, dan juga memungkinkan pembaruan otomatis untuk menjaga firmware tetap mutakhir.

Selain itu, pengguna selalu disarankan untuk menggunakan kata sandi yang kuat untuk mengamankan perangkat NAS mereka di tempat pertama dan secara teratur membuat cadangan informasi yang tersimpan di perangkat ini, sehingga dalam hal terjadi bencana, data penting dapat dipulihkan tanpa membayar tebusan kepada penyerang.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel