PSA : Les propriétaires de NAS Asustor sont avertis d’un méchant rançongiciel, DeadBolt, qui attaque les NAS connectés au cloud/en ligne et demande 0,03 BTC pour déchiffrer le contenu des utilisateurs. Si vous utilisez un appareil Asustor, vous voudrez désactiver l’utilitaire EZ Connect soupçonné d’être vulnérable à l’exploit et déconnecter physiquement votre NAS d’Internet.

Le rançongiciel DeadBolt, qui a précédemment pris en otage les disques QNAP, s’en prend maintenant aux appareils Asustor et chiffre les fichiers sur les instances connectées à Internet. NAS Compares rapporte comment plusieurs propriétaires ont été affectés par DeadBolt alors que le vecteur d’attaque du ransomware reste inconnu.

Le forum de la communauté Asustor est également peuplé d’expériences similaires, les utilisateurs signalant une activité de disque élevée déclenchée par DeadBolt cryptant leurs fichiers. L’utilisateur de Reddit u/kabe0, qui a également été victime de cette attaque, a partagé comment d’autres propriétaires peuvent détecter la présence de ce ransomware en se connectant à leur NAS et en recherchant tous les fichiers avec l’extension .deadbolt en tapant cette commande :

sudo find / -type f -name « *.pêne dormant »

Les disques NAS compromis ne fonctionneront pas correctement car DeadBolt cible à la fois les fichiers système et personnels. Pour les utilisateurs concernés, la ligne de conduite recommandée consiste à récupérer le contenu non chiffré et à évaluer les dommages en connectant leur NAS à une autre instance Linux et en effectuant une sauvegarde externe.

Les propriétaires non concernés, quant à eux, ont été invités à désactiver le logiciel d’accès à distance EZ Connect d’Asustor, à empêcher tout accès non autorisé en désactivant SSH, à désactiver les mises à jour automatiques et à configurer leur pare-feu pour autoriser uniquement la communication LAN et bloquer tout le trafic entrant de l’extérieur.

La dernière attaque rappelle encore une fois l’importance des sauvegardes hors ligne et le risque lié à la commodité d’avoir votre stockage personnel accessible à distance. Bien qu’ils n’aient pas été victimes de rançongiciels, certains disques WD connectés à Internet ont causé des maux de tête similaires l’année dernière en raison de logiciels malveillants les obligeant à effacer toutes les données et à réinitialiser les paramètres d’usine.

Asustor n’a pas encore émis d’avis ou répondu par sa propre enquête sur cette attaque pour révéler des détails sur la vulnérabilité possible, un correctif logiciel à venir et/ou une liste complète des modèles concernés.