Asustor advierte a los usuarios de ataques de ransomware Deadbolt

Se advierte a los usuarios de dispositivos Asustor Network Attached Storage (NAS) sobre posibles infecciones de ransomware Deadbolt después de que decenas de personas recurrieran a Reddit y otros foros de mensajes para quejarse de los ataques.

El gerente de marketing de Asustor, Jack Lu, dijo MarketingyPublicidad.es que la compañía «va a lanzar hoy un firmware de recuperación para ingenieros de soporte para usuarios cuyo NAS haya sido pirateado para que puedan usar su NAS nuevamente».

«Sin embargo, los archivos cifrados no se pueden recuperar a menos que los usuarios tengan copias de seguridad», agregó Lu.

Asustor lanzó una advertencia el miércoles de que el ransomware Deadbolt se estaba utilizando en ataques que afectaban a los dispositivos de Asustor. Anunció que el servicio DDNS myasustor.com se desactivará mientras se investiga el problema.

La empresa recomienda a los usuarios cambiar los puertos predeterminados, incluidos los puertos de acceso web NAS predeterminados 8000 y 8001, así como los puertos de acceso web remoto 80 y 443. Los usuarios también deben desactivar EZ Connect, realizar copias de seguridad inmediatas y desactivar Terminal/SSH y SFTP. servicios.

Asustor también proporcionó una guía más detallada para los usuarios que necesitan más ayuda. Si ya ha sido atacado por el ransomware Deadbolt, debe desconectar el cable de red Ethernet y apagar su NAS manteniendo presionado el botón de encendido durante tres segundos.

Se insta a los usuarios a completar este formulario y asegurarse de no inicializar su NAS porque borrará sus datos.

El CERT de Nueva Zelanda lanzó sus propias advertencias extensas sobre Deadbolt esta semana, escribiendo que las vulnerabilidades en los dispositivos QNAP y Asustor NAS se están explotando activamente para implementar ransomware. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. se negó a comentar.

QNAP publicó su propia guía de Deadbolt el mes pasado y tomó varias medidas controvertidas para limitar la propagación del ransomware.

CERT NZ dijo que los usuarios deben seguir la guía proporcionada por ambas compañías sobre cómo proteger sus dispositivos. Pero señaló que ambos «están siendo atacados activamente por atacantes que intentan implementar ransomware».

Dijo que los dispositivos QNAP NAS que están expuestos a Internet y que ejecutan los sistemas operativos QTS y QuTS, o complementos con las siguientes versiones, se ven afectados:

  • QTS 5.0.0.1891 compilación 20211221 y posterior
  • QTS 4.5.4.1892 compilación 20211223 y posterior
  • QuTS hero h5.0.0.1892 compilación 20211222 y posterior
  • QuTS hero h4.5.4.1892 compilación 20211223 y posterior
  • QuTScloud c5.0.0.1919 compilación 20220119 y posterior

Los dispositivos Asustor afectados que están expuestos a Internet y ejecutan sistemas operativos ADM incluyen los modelos AS5104T, AS5304T, AS6404T, AS7004T, AS5202T, AS6302T y AS1104T.

Los usuarios informaron haber visto los mismos mensajes de rescate que se implementaron el mes pasado cuando se atacaron los dispositivos QNAP. El grupo de ransomware Deadbolt exigió 0,03 bitcoins (BTC) a cambio de la clave de descifrado.

En otra nota a Asustor, el grupo de ransomware ofrece proporcionar a la empresa información sobre la supuesta vulnerabilidad de día cero que solían atacar a cambio de 7,5 BTC. El grupo también ofrece una clave maestra de descifrado por 50 BTC, por un valor de 1,9 millones de dólares.

Para QNAP, el grupo exigió un pago de 5 BTC a cambio de detalles sobre el presunto día cero y 50 BTC por una clave maestra de descifrado universal.

Mientras los usuarios esperan que se publique el firmware, algunos advierten a los usuarios que hagan una copia de seguridad de los archivos bloqueados. El firmware de QNAP eliminó la nota de rescate que se necesita para obtener y usar la clave de descifrado. Tanto las herramientas de descifrado de Deadbolt como la empresa de seguridad Emsisoft requieren la nota de rescate original.

No está claro cuántos usuarios de Asustor se ven afectados por el ransomware. Censys informó el mes pasado que de los 130 000 dispositivos NAS de QNAP que eran objetivos potenciales, 4988 «mostraron los signos reveladores de esta pieza específica de ransomware».

Censys dijo más tarde MarketingyPublicidad.es que el número de dispositivos expuestos e infectados rondaba los 3.927.

Deja un comentario