Mezi NAS Asustor se šíří ransomware DeadBolt, doporučuje se je odpojit
22.2.2022, Jan Vítek, aktualita
Pokud využíváte jisté modely NAS značky Asustor, měli byste přinejmenším zvážit možnost jejich dočasného odpojení od Internetu, neboť aktuálně se šíří ransomware DeadBolt zaměřující právě NAS této značky.
DeadBolt je ten samý ransomware, který dříve přinutil reagovat firmu QNAP. Ta přišla dokonce s vynucenými aktualizacemi svých NAS, což se ovšem nelíbilo mnohým uživatelům, kteří měli automatické aktualizace vypnuty. Nyní se DeadBolt zaměřil na NAS značky Asustor a chová se jako obvykle, čili šifruje data a za poskytnutí dešifrovacího klíče žádá výkupné ve výši 0,03 BTC. To je aktuálně necelých 24 tisíc korun.
Každá oběť přitom obdrží unikátní bitcoinovou adresu, na niž má zaslat příslušný obnos, čili už podle ní útočník pozná, kdo konkrétně zaplatil, a komu tedy poslat dešifrovací klíč. Uvedených 0,03 BTC je přitom stejný obnos, jaký byl žádán i v případě napadených NAS značky QNAP, které ovšem autoři DeadBoltu nabídli, že se podělí o informace týkající se dané chyby, která umožnila propašovat ransomware do systému NAS serverů. Za to žádali už ale pět Bitcoinů a za padesát pak QNAP mohl získat univerzální dešifrovací klíč. Zatím přitom není známo nic o tom, že by podobnou nabídku dostal i Asustor.
Co by tedy měli lidé provozující NAS systémy Asustor nyní dělat? V prvé řadě je třeba říci, že některých modelů jako AS6602T, AS-6210T-4K nebo AS6102T se tato věc údajně netýká, ovšem na to pochopitelně nelze zcela spoléhat. Naopak v případě AS5304T, AS6404T, AS5104T či AS7004T už se ozvali lidé, kteří se nyní potýkají se zašifrovanými osobními daty.
Řešení je tedy nasnadě, nejjistější bude dočasně NAS Asustor zcela odpojit od Internetu a využívat jej případně jen v rámci lokální sítě s příslušně nastavenými omezeními sítě NAS serveru. A pokud to někdo riskne, přinejmenším by měl zrušit synchronizaci dat s dalšími úložišti, aby neskončil s daty, která sice má zálohována na více místech, ale na všech budou zašifrována. To platí samozřejmě i pro online cloudové služby jako Google Drive, Dropbox či OneDrive.
Aktuálně se stále čeká na oficiální reakci firmy Asustor, která by dala uživatelům jejích NAS serverů informace o tom, kdy mohou čekat nápravu. Spekuluje se přitom, že tu jde o neautorizovaný přístup získaný pomocí služby EZ Connect od Asustoru, která slouží k připojení k NAS serveru přes širý Internet. Pokud se tak někdo rozhodne Asustor dále provozovat připojený na Internet, měl by službu EZ Connect v nastavení zablokovat, stejně jako pro jistotu i zrušit automatické aktualizace, blokovat všechny nepotřebné porty a případně povolovat připojení jen z ověřených IP adres.
Zdroj: Asustor Forums