Les propriétaires de NAS Asustor sur Reddit et les forums officiels d’Asustor ont signalé qu’ils avaient été victimes d’une attaque de rançongiciel DeadBolt. DeadBolt est dans la nature depuis un certain temps maintenant, infectant les systèmes NAS non protégés connectés à Internet. Le même ransomware a déjà fait des ravages sur les appareils QNAP, et il semblerait qu’Asustor était la prochaine cible.
Le mode opératoire de DeadBolt n’a pas beaucoup changé. L’attaquant se glisse à distance dans le NAS de la victime, crypte les informations de cette dernière, et demande par conséquent une rançon en bitcoins. Chaque victime reçoit une adresse Bitcoin unique pour envoyer les fonds. Une fois le paiement effectué, le criminel envoie à la victime la clé de décryptage pour décrypter les fichiers sur le système NAS infecté. Les auteurs demandent 0,03 bitcoin, ce qui, au taux de change actuel, est d’environ 1 154 dollars. C’est la même somme que les pirates de l’air avaient exigée de leurs victimes QNAP. Étonnamment, le gang n’a fait aucune offre à Asustor. Avec QNAP, le groupe avait proposé de partager les détails de la vulnérabilité avec l’entreprise pour cinq bitcoins (184 000 $) ou de lui vendre la clé principale de décryptage universelle pour 50 bitcoins (1,85 million de dollars).
Les utilisateurs d’Asustor qui synchronisent leurs fichiers depuis leur NAS vers un service cloud comme Microsoft OneDrive ou Google Drive doivent rompre le lien dès que possible. Un Redditor a commenté que son système infecté avait poussé les fichiers cryptés vers ses comptes OneDrive et Google Drive. Bien qu’il ait pu récupérer les fichiers du premier, il n’a pas eu de chance avec le second.
Asustor n’a pas publié de déclaration concernant l’attaque DeadBolt. Les conseils actuels consistent à déconnecter le système NAS d’Internet et à attendre le correctif d’Asustor. Les propriétaires supposent que DeadBolt a obtenu l’accès via l’utilitaire EZ Connect d’Asustor, qui permet aux utilisateurs de se connecter à leurs systèmes NAS de n’importe où dans le monde. Ce qui est drôle, c’est que même la démo en direct d’ADM (Asustor Data Master), le système d’exploitation des appareils Asustor NAS, n’a pas été enregistrée depuis le DeadBolt.
On ne sait pas si tous les appareils Asustor NAS sont sensibles à l’attaque DeadBolt car il y a des commentaires d’utilisateurs selon lesquels certains modèles, tels que l’AS6602T, l’AS-6210T-4K, l’AS5304T, l’AS6102T ou l’AS5304T, sont exempts d’infection. Pendant ce temps, certains modèles concernés incluent les AS5304T, AS6404T, AS5104T et AS7004T.
Supposons que vous soyez l’un des heureux propriétaires qui n’a pas été infecté. Dans ce cas, un Redditor recommande de prendre certaines mesures préventives, telles que la désactivation d’EZ Connect, les mises à jour automatiques, SSH, le blocage de tous les ports NAS de votre routeur et l’autorisation des connexions uniquement depuis votre réseau.