Armazenamentos de rede Asustor atacados por vírus ransomware: ainda não há cura, mas não seria supérfluo desconectar o NAS da Internet

Nos fóruns oficiais do Reddit e da Asustor, os usuários de armazenamento conectado à rede (NAS) da empresa começaram a relatar vários casos de ataques de criptografia em suas unidades. O fabricante ainda não se pronunciou sobre a situação. O conselho mais comum nesses casos é desconectar-se da rede e aguardar o lançamento do patch.

Fonte da imagem: Asustor

Os proprietários das unidades infectadas receberam notificações exigindo um resgate de 0,03 bitcoins, o que equivale a cerca de US$ 1.150 na taxa de câmbio de hoje. O ataque foi realizado usando o malware DeadBolt, que também foi usado no ano passado para atacar NAS da QNAP (de acordo com outras fontes, eles foram atacados pelo ransomware Qlocker). O usuário que pagou o resgate usando um link exclusivo para cada um recebeu uma chave para descriptografar os dados.

É interessante notar que a QNAP recebeu uma oferta de invasores para comprar uma chave de descriptografia universal para 50 bitcoins (1,85 milhão) e dados de vulnerabilidade para cinco bitcoins (US$ 184.000). A Asustor não recebeu tais ofertas. De qualquer forma, não há informações sobre isso no espaço público.

Foi especulado nos fóruns que o DeadBolt acessou o NAS através do utilitário EZ Connect da Asustor, que permite aos usuários se conectarem aos seus sistemas NAS de qualquer lugar do mundo. Portanto, como medida preventiva, surgiu uma proposta para desabilitar o EZ Connect, atualizações automáticas, SSH, bloquear todas as portas NAS no roteador e permitir apenas a conexão da rede local.

A falta de uma resposta oficial da Asustor não nos permite entender quais dos modelos de NAS estavam vulneráveis. De acordo com relatos de usuários, os modelos AS6602T, AS-6210T-4K, AS5304T, AS6102T e AS5304T escaparam do triste destino, e os armazenamentos AS5304T, AS6404T, AS5104T e AS7004T foram infectados.