Ditemukan Ransomware Baru Menargetkan Perangkat NAS (Network Attached Storage)

Keluarga ransomware baru ditemukan menargetkan perangkat Network Attached Storage (NAS) berbasis Linux yang dibuat oleh QNAP Systems yang berbasis di Taiwan dan menyandra data penting pengguna sampai tebusan dibayar, kata para peneliti kepada THN . perangkat NAS adalah unit penyimpanan file khusus yang terhubung ke jaringan atau melalui Internet, yang memungkinkan pengguna untuk menyimpan dan berbagi data dan cadangan dengan banyak komputer. Ditemukan secara independen oleh para peneliti di dua perusahaan keamanan yang terpisah, Intezer dan Anomali, keluarga ransomware baru menargetkan server NAS QNAP yang dilindungi dengan buruk atau rentan, baik dengan memaksa memaksa kredensial SSH yang lemah atau mengeksploitasi kelemahan yang diketahui. Dijuluki “QNAPCrypt” oleh Intezer dan “eCh0raix” oleh Anomali, ransomware baru ditulis dalam bahasa pemrograman Go dan mengenkripsi file dengan ekstensi yang ditargetkan menggunakan enkripsi AES dan menambahkan ekstensi .encrypt ke masing-masing data.  berikut gambar dibawah menjelaskan kinerja ransomware QNAPCrypt dan eChoraix.

setelah ransomware di eksekusi, file yang terenkripsi ransomware akan terhubung ke remote jarak jauh, dan jaringan tersebut terlindung dengan Tor Network, menggunakan Tor proxy SOCKS 5 sebagai notifikasi ke attack jika mendapatkan target baru, berikut gambar simulasi penyerangan ransomware ke target.

ransomware tersebut melakukan generate/pembuatan 32 karakter random string untuk membuat secret key (AES-256) untuk melakukan enkripsi semua file dan dokumen milik korban yang ditargetkan ke perangkat NAS.
sebelum melakukan enkripsi file di perangkat NAS, ransomware juga melakukan kill command terhadap service apache2, nginx,MYSQL,PostgreSQL. sebagai pengingat untuk selalu melakukan update firmware terhadap perangkat NAS tersebut untuk menghindari serangan rasomware QNAPcrypt dan eChoraix.