Penyedia storage appliance, QNAP, menginstruksikan para penggunanya untuk segera mengamankan atau mematikan perangkat network-attached storage (NAS) yang terekspos ke internet menyusul terjadinya serangan ransomware dan brute force.
Serangan ransomware dan brute force ini dilancarkan secara acak dan membidik perangkat jaringan yang dalam kondisi vulnerable atau rentan terhadap serangan. Tidak banyak keterangan yang disampaikan QNAP terkait serangan ini. Namun Bleeping Computer melaporkan adanya pelanggan QNAP yang menyebutkan sistemnya diserang oleh ransomware eCh0raix ransomware (atau QNAPCrypt).
QNAP menyarankan para penggunanya untuk segera melakukan verifikasi apakah perangkat mereka dapat diakses melalui internet atau tidak dengan memanfaatkan QNAP Security Counselor, portal keamanan built-in untuk perangkat QNAP NAS.
Jika perangkat NAS ternyata erkespos ke internet, QNAP menginstruksikan pengguna melakukan dua langkah ini:
- Disable atau matikan fungsi Port Forwarding di router: buka antarmuka untuk manajemen router, periksa pengaturan atau setting Virtual Server, NAT, atau Port Forwarding. Lalu matikan setting port forwarding pada port NAS management service (secara default port 8080 dan 433.
- Disable atau matikan fungsi UPnP di QNAP NAS: buka myQNAPcloud di menu QTS, klik Auto Router Configuration dan batalkan pilihan “Enable UPnP Port forwarding."
Masih dikutip dari BleepingComputers, beberapa pelanggan mengaitkan serangan ransomware yang berhasil dengan perangkat yang terkoneksi ke internet tapi tidak diamankan secara memadai. Pelanggan lain juga mengeklaim bahwa para penyerang mengeksploitasi kerentanan QNAP Photo Station. Namun tidak disebutkan kerentanan apa yang berpotensi membuka peluang serangan terhadap perangkat NAS.
Penyebar serangan ransomware ech0raix dilaporkan menuntut tebusan berupa bitcoin yang nilainya berkisar antara US$1.200 hingga US$3.000. Beberapa korban terpaksa membayar uang tebusan karena tidak memiliki backup file terenkripsi.
Dikutip dari Techpost.com, ransomware eCh0raix sudah pernah digunakan untuk mengancam pengguna QNAP pada bulan Juni 2019 dan Juni 2020. Serangan ransomware ini kembali mengemuka di bulan Mei 2021 dengan membidik perangkat yang lemah password-nya.