QNAP uporał się z zagrożeniem, więc cyberprzestępcy znaleźli lukę u innego producenta serwerów NAS. Zaleca się podjęcie natychmiastowych działań, włącznie z odcięciem urządzenia od internetu.
Na przestrzeni ostatnich miesięcy z atakami cyberprzestępców musiał zmierzyć się producent urządzeń QNAP. Opublikowane w końcu poprawki zabezpieczeń zablokowały zagrożenie (choć nie obyło się bez kontrowersji), a oszuści musieli znaleźć sobie inny cel i znaleźli. Asustor ostrzega posiadaczy urządzeń NAS swojej marki przez ransomware DeadBolt, które atakuje serwery online, szyfruje dane i żąda 0,03 BTC za odszyfrowanie danych. Producent zaleca wyłączenie narzędzia EZ Connect, które jest podejrzane o podatność na exploit i fizycznie odłączyć serwer NAS od internetu.
Użytkownicy urządzeń Asustor powinni natychmiast wyłączyć oprogramowanie EZ Connect i odciąć NAS od internetu. Podobnie jak wcześniej w przypadku NAS'ów od QNAP trwa zmasowany atak ransomware, tym razem na urządzenia Asustor.
Oprogramowanie ransomware DeadBolt, które wcześniej brało dyski QNAP na cel, teraz przerzuciło się na urządzenia Asustor i szyfruje pliki w instancjach połączonych z internetem. Na forum społeczności Asustor pojawia się wiele doniesień o atakach, a użytkownicy zgłaszają wysoką aktywność na dysku wywołaną szyfrowaniem ich plików przez DeadBolt. Właściciele urządzeń mogą wykryć obecność ransomware, logując się do swojego NAS i wyszukując wszystkie pliki z rozszerzeniem .deadbolt, wpisując polecenie: sudo find / -type f -name "*.deadbolt".
Zaatakowane dyski NAS nie będą działać poprawnie, ponieważ DeadBolt atakuje również pliki systemowe. W przypadku dotkniętych użytkowników zalecanym sposobem działania jest odzyskanie niezaszyfrowanej zawartości i ocena uszkodzeń poprzez podłączenie ich NAS do innej instancji systemu Linux i wykonanie zewnętrznej kopii zapasowej. Osoby, które nie padły ofiarą ataku, powinny natychmiast wyłączyć zdalny dostęp Asustor EZ Connect, zablokować SSH, wyłączyć aktualizacje automatyczne i zablokować ruch na zewnątrz, ograniczając się do komunikacji LAN.
W międzyczasie nieposzkodowani właściciele zostali poproszeni o wyłączenie oprogramowania zdalnego dostępu Asustor EZ Connect, zapobieganie nieautoryzowanemu dostępowi poprzez wyłączenie SSH, wyłączenie automatycznych aktualizacji i skonfigurowanie zapory tak, aby zezwalała tylko na komunikację LAN i blokowała cały ruch przychodzący z zewnątrz. Asustor nie opublikował więcej informacji, cały czas analizując problem. Nie znane są informacje na temat poprawki zabezpieczeń, ani lista zagrożonych modeli NAS
Pokaż / Dodaj komentarze do: Trwają ataki na kolejne urządzenia NAS. Producent zaleca przejście w tryb offline