Under måndag kväll har flera användare med NAS-enheter från Asustor rapporterat att de utsatts för skadlig programvara i form av ransomware, mer specifikt en variant vid namn Deadbolt. Likt många andra liknande varianter, krypterar Deadbolt innehållet på enheten och kräver sedan användaren på en lösensumma för att låsa upp dem igen.
Det är i skrivande stund inte känt hur Deadbolt letat sig in hos användare. Teorier inkluderar genom automatiska uppdateringar av programvaran och tjänsten Ez-Connect, som kan användas för att anslutas mot enheten även utanför det lokala nätverket.
Asustor-enheter är inte de första som drabbas av Deadbolt. I januari drabbades även ett stort antal enheter från Qnap av samma typ av attack, där angripare krävde 0,03 bitcoin, motsvarande knappt 11 000 kronor, i utbyte mot krypteringsnyckeln. Baserat på bilder som dykt upp på Twitter och forumet Reddit ser Asustor-användare ut att krävas på samma lösensumma.
Det är inte bara användare som krävs på lösensumma, även Asustor erbjuds en lösning på problemet i utbyte mot betalning. De krävs dock på en betydligt större summa om 50 bitcoin, men då för tillgång till en krypteringsnyckel som fungerar för alla bolagets drabbade kunder.
I skrivande stund finns inget officiellt uttalande eller rekommendationer från Asustor gällande hantering eller förebyggande åtgärder. En generell rekommendation är att koppla från enhetens nätverksanslutning, både trådad och eventuell trådlös sådan.
Uppdatering 2022-02-22 08:47
Asustor har nu gått ut med officiella rekommendationer genom bolagets supportsida. Användare rekommenderas ändra NAS-enhetens inställningar och byta från de förinställda portarna 8000, 8001, 80 och 443 till andra alternativ. Asustor har inaktiverat funktioner relaterat till Ez-Connect medan problemet undersöks.
De som ännu inte påverkats rekommenderas utöver att byta portar att avaktivera Ez-Connect, omedelbart göra en säkerhetskopia av sin data och stänga av SSH- och SFTP-tjänster. En mer detaljerad säkerhetsguide finnes även på Asustors webbplats.
För de som utsatts för Deadbolt redan ser stegen något annorlunda ut. Användare råds först att koppla från eventuell nätverksanslutning och sedan stänga av sin enhet genom att hålla ned strömknappen i tre sekunder. Om enheten behöver startas igen avråds användare från att initiera systemet, då detta raderar allt innehåll. För att få hjälp med problemet hänvisas användare till att fylla i ett formulär och sedan invänta support.
