Vários utilizadores de NAS da Asustor deram conta no Reddit, e no fórum oficial da Asustor, que foram vítimas de um ataque ransomware com o malware DeadBolt. Este vírus anda a circular há bastante tempo, e serve para atacar unidades NAS que estejam ligadas à Internet. Este foi o mesmo ransomware usado recentemente numa campanha de ataques a unidades NAS da QNAP.
A forma como estes ataques funcionam não mudou muito desde os primeiros casos. O atacante acede remotamente ao NAS, e encripta toda a informação que lá estiver gravada. De seguida, pede um resgate em bitcoin para que o utilizador possa recuperar o acesso aos dados. Assim que o pagamento é feito, o atacante envia a chave de desencriptação. Neste momento, os atacantes estão a pedir, 0,03 bitcoin, que ao câmbio actual é corresponde a cerca de 1000 euros. Esta era a mesma soma pedida às vítimas aquando do ataque aos sistemas NAS da QNAP.
Desta vez, os atacantes não fizeram qualquer oferta à Asustor para a empresa comprar a informação acerca das vulnerabilidades do software que são usadas nos ataques. No caso da QNAP, os atacantes pediram 5 bitcoin (cerca de 150 mil euros) para partilhar a informação acerca da forma como os ataques funcionam, ou 50 bitcoin (cerca de 1,5 milhões de euros) para a empresa comprar uma chave de desencriptação universal.
A Asustor publicou um artigo no seu blogue oficial, que dá várias recomendações aos utilizadores para se protegerem até ser encontrada uma solução permanente. Os conselhos são:
- Alterar os ports por defeito para acesso web na rede LAN (8000 e 8001) e os ports de acesso remoto: 80 e 443.
- Desligar a funcionalidade EZ Connect.
- Fazer um backup imediatamente.
- Desligar os serviços de Terminal, SSH e SFTP.
Não se sabe se todos os dispositivos NAS da Asustor são susceptíveis a estes ataques, mas, segundo vários utilizadores, os modelos AS6602T, AS-6210T-4K, AS5304T, AS6102T ou AS5304T não foram atacados.
Já os modelos atacados incluem os: AS5304T, AS6404T, AS5104T e AS7004T.