Asustor hackade av deadbolt

Ja är du inte drabbad så borde det vara lugnt.

Jag provade koppla tp till datorn men fick ingen kontakt, orkar inte lägga tid på att sätta mig in i det där. Fyllt i Asustors formulär och inväntar vidare instruktioner.

Jag använder pfSense routermjukvara med tillägget pfBlockerNG där man kan välja regioner/länder att tillåtas/blockeras.

Min pfSense loggar all trafik på alla portar som släppts igenom. Det som pfBlockerNG filtrerar bort är jag inte intresserad av så jag ser väldigt tydligt vad som händer hos mig. Utdrag ur loggen på trafik som släppts in den senaste veckan. Det är bara ett fåtal portar som är öppna. Vad det används mest till framgår rätt tydligt för den insatte.

Feb 20 10:08:21 WAN xx.23.159.166:51344 192.168.x.x:1688 TCP:S
Feb 17 14:36:24 WAN xx.23.159.104:49734 192.168.x.x:1688 TCP:S
Feb 17 14:36:20 WAN xx.23.159.104:49730 192.168.x.x:1688 TCP:S
Feb 16 15:11:08 WAN xx.16.164.98:51537 192.168.x.x:1688 TCP:S

Lite beroende på ens behov och möjligheter så kan olika backuplösningar passa olika bra. Jag är stor anhängare av optiska skivor. Är de väl brända klarar de sig mot ransomware. Lätta att lägga offsite också.

Folk flest tycks värdera bilder och familjefilmer högt, och 25GB som en skiva rymmer räcker ganska långt. Eller så tar man flera. Eller större. Jag lade in min frus alla bilder och dokument från ca 2001-2021 på 1st 100GByte-skiva, som ställs hos hennes föräldrar. (I kombination med time-machine och molnbackup). Jag brukar göra backup varje gång jag "tömmer" mobilen eller systemkameran (dvs, innan jag tömmer dem).

Känner ganska många som vill "flytta sina bilder till backup-hårddisken", jag försöker trycka på "kopiera, inte flytta", men det är svårt.

Är ingen guru själv. Har backup på det mesta, tror jag, men borde nog skaffa en NAS på ca 20GB som extra backuplösning.

Jag tycks inte vara drabbad av Deadbolt. Har kopplat upp min NAS mot en dator som är helt offline och har bytt portar, avaktiverat tjänster etc. Håller nu på att säkerhetskopiera allt till extern disk, och kommer även att kopiera allt till ytterligare ett ställe. Suck och pust för allt detta, men verkar ha klarat mig.

Det gjorde jag redan innan detta hände. De använder sig antagligen av ASUSTOR's egna servrar för att hacka sig in, vilket gör att brandväggen inte hjälper, om du inte blockade ASUSTOR's egna servrar.

De däringa EZ-features från Asus, tillför det något man inte kan ordna själv eller är det bara en "gratis" ddns? Men så länge t.ex. stora Microsoft envisas med att inte supporta https utan vrångar sig med http på Windows Update Catalog är det inget speciellt som förvånar en längre.

Alltså.. Om man inte har EZ Connect aktiverat och ingen port forwarding i routern, kan nasen ändå hittas på något sätt utifrån?

Nej.

Med tanke på hur lite omvärlden faktiskt vet om detta så finns det inga garantier förutom att hålla sin NAS offline verkar det som.

Finns en hel del uppdaterad info bl.a här:

https://www.reddit.com/r/asustor/comments/sxywfv/ransomware_a...

Det verkar som det sakta utkristalliserar att det är EZ-connection och PLEX som verkar vara intrångsvektorn, men många hävdar att man blivit smittad ändå utan dom påslagna (eller inte vet om att de är påslagna ändå) så det kan finnas ytterligare vägar in. Somliga har också råkat på att spammängden ökat mycket kort innan så det kan finnas en databreach också med kanske konton och IP-adresser som är kopplade till de som har asustor och därmed pinpointar dessa bättre för attack

---

Om det är en supply chain-attack, ja, dvs. att datat som du hämtar för att uppgradera NAS:en är redan hackat hos Asustor, så ha inte automatisk uppgradering påslaget utan se till att du manuellt måste initiera uppgraderingen - på det sättet hinner du synka och säkra urkopplingsbara backupper innan du startar uppgraderingen - Det är inte bara för risken med ransomware man bör göra backup innan uppgradering - det kan skita sig av andra orsaker också.

Attacker som Konsum drabbades av via kassasystemen från leverantör och solarwind (fjärradministration av stora dataparker mm) tidigare var supply-chain attacker.

backup, backup, backup! - och håll den ofta uppdaterad!!

Bra med ny firmware, men extremt trist att krypterade filer verkar vara förlorade.

Klarade mig som sagt för egen del, men det kunde ju lika gärna gått åt skogen här med.

Tack. Jag har bara manuella updateringar och kommer avvakta tills detta har löst sig.

Först Qnap, nu Asustor. Det är väl rimligt att anta att man kommer att försöka ge sig på de flesta andra stora leverantörerna av NAS-boxar vad det lider.

Se över er backup innan det smäller, oavsett märke.

Nån som vet om detta bara drabbar senare versioner av firmware (ADM). Sitter själv på en äldre och väntade in att den nyare större uppdateringen skulle bli stabil och bra - och sen kom en massa emellan så uppdateringen har dröjt länge. Kanske det som räddade mig bisarrt nog. Jag har inte sett några krypterade filer på NAS'en och inte hört någon större aktivitet heller. Men jag utförde de rekommenderade åtgärderna och sen stängde jag ner. Så vet inte status. Men, kan som sagt ett äldre ADM ha räddat mig? Nån som sett något relaterat det?
Har i övrigt inte använt EZ-connect (även om det var aktiverat på nasen), men ingen port forward i routern. SFTP var enda tjänsten med extern access, men mot ickestandard port och IP-avgränsad access. Plex har jag dock haft igång, freeversionen.

varför exponerar man sin nas mot nätet för? vad exakt är anledningen?

om det är synk av foton osv kan man ju låta denna grej göras när man är hemma på lokala wifi nätverket med telefonen.

om det är för att kunna kolla på media man har på sin piratserver hemma så borde man ju vara ännu mer pirat och sätta upp sin egen vpn tunnel mot sitt interna lan så ispn inte ser att du tittar på dina piratfilmer till att börja med

surt att få filerna krypterade, hoppas ni hade riktig backup

Den är deras version av en DDNS skulle jag tro.
Man får en sådan som en del av den support som medföljer.
Blir till att hitta en annan lösning senare.

Tog ut hddn och startade upp allt med Asustor Control Center. Satte i disken igen och ominitierade. Alla filer är kvar, tappat lite data som har .deadbolt extension och kryptering men är i sammanhanget lindrigt drabbad med tanke på hur många timmar den stod och krypterade.

Tycker att Asustor har skött det hela väldigt bra ändå. Följt deras instruktioner och stramat upp säkerheten, hoppas slippa en runda 2. Lycka till alla med er data!