Se tiver um NAS Asustor desligue-o da Internet

Os NAS da Asustor estão a ser vítimas de um ataque de ransomware com o vírus DeadBolt. A Asustor aconselha os utilizadores a desligarem todas as funcionalidades que permitem o acesso aos dados a partir da Internet.
Asustor AS3102T v2
Asustor

Vários utilizadores de NAS da Asustor deram conta no Reddit, e no fórum oficial da Asustor, que foram vítimas de um ataque ransomware com o malware DeadBolt. Este vírus anda a circular há bastante tempo, e serve para atacar unidades NAS que estejam ligadas à Internet. Este foi o mesmo ransomware usado recentemente numa campanha de ataques a unidades NAS da QNAP.

A forma como estes ataques funcionam não mudou muito desde os primeiros casos. O atacante acede remotamente ao NAS, e encripta toda a informação que lá estiver gravada. De seguida, pede um resgate em bitcoin para que o utilizador possa recuperar o acesso aos dados. Assim que o pagamento é feito, o atacante envia a chave de desencriptação. Neste momento, os atacantes estão a pedir, 0,03 bitcoin, que ao câmbio actual é corresponde a cerca de 1000 euros. Esta era a mesma soma pedida às vítimas aquando do ataque aos sistemas NAS da QNAP.

Desta vez, os atacantes não fizeram qualquer oferta à Asustor para a empresa comprar a informação acerca das vulnerabilidades do software que são usadas nos ataques. No caso da QNAP, os atacantes pediram 5 bitcoin (cerca de 150 mil euros) para partilhar a informação acerca da forma como os ataques funcionam, ou 50 bitcoin (cerca de 1,5 milhões de euros) para a empresa comprar uma chave de desencriptação universal.

A Asustor publicou um artigo no seu blogue oficial, que dá várias recomendações aos utilizadores para se protegerem até ser encontrada uma solução permanente. Os conselhos são:

  • Alterar os ports por defeito para acesso web na rede LAN (8000 e 8001) e os ports de acesso remoto: 80 e 443.
  • Desligar a funcionalidade EZ Connect.
  • Fazer um backup imediatamente.
  • Desligar os serviços de Terminal, SSH e SFTP.

Não se sabe se todos os dispositivos NAS da Asustor são susceptíveis a estes ataques, mas, segundo vários utilizadores, os modelos AS6602T, AS-6210T-4K, AS5304T, AS6102T ou AS5304T não foram atacados.

Já os modelos atacados incluem os: AS5304T, AS6404T, AS5104T e AS7004T.