Asustor NAS-Besitzer haben auf Reddit (öffnet in neuem Tab) und in den offiziellen Asustor-Foren (öffnet in neuem Tab) berichtet, dass sie Opfer eines DeadBolt-Ransomware-Angriffs geworden sind. DeadBolt ist bereits seit einiger Zeit in freier Wildbahn unterwegs und infiziert ungeschützte NAS-Systeme, die mit dem Internet verbunden sind. Dieselbe Ransomware hat zuvor QNAP-Geräte verwüstet, und es scheint, dass Asustor das nächste Ziel war.
Der Modus Operandi von DeadBolt hat sich nicht wesentlich verändert. Der Angreifer schleicht sich aus der Ferne in das NAS des Opfers ein, verschlüsselt dessen Daten und fordert anschließend ein Lösegeld in Bitcoins. Jedes Opfer erhält eine eindeutige Bitcoin-Adresse, um das Geld zu überweisen. Sobald die Zahlung erfolgt ist, sendet der Kriminelle dem Opfer den Entschlüsselungsschlüssel, um die Dateien auf dem infizierten NAS-System zu entschlüsseln. Die Täter verlangen 0,03 Bitcoin, was nach dem heutigen Wechselkurs etwa 1.154 US-Dollar entspricht. Das ist die gleiche Summe, die die Entführer von ihren QNAP-Opfern gefordert hatten. Überraschenderweise hat die Bande Asustor kein Angebot gemacht. Bei QNAP hatte die Gruppe angeboten, die Details der Sicherheitslücke für fünf Bitcoins (184.000 US-Dollar) mit dem Unternehmen zu teilen oder ihm den universellen Hauptschlüssel zur Entschlüsselung für 50 Bitcoins (1,85 Millionen US-Dollar) zu verkaufen.
Asustor-Nutzer, die ihre Dateien von ihrem NAS mit einem Cloud-Dienst wie Microsoft OneDrive oder Google Drive synchronisieren, sollten die Verbindung so schnell wie möglich kappen. Ein Redditor(öffnet in neuem Tab) kommentierte, dass sein infiziertes System die verschlüsselten Dateien auf seine OneDrive- und Google Drive-Konten übertragen hat. Während er die Dateien von ersterem wiederherstellen konnte, hatte er mit letzterem kein Glück.
Asustor hat keine Stellungnahme zu dem DeadBolt-Angriff abgegeben. Die Empfehlung von infizierten Besitzern lautet, das NAS-System vom Internet zu trennen und auf die Lösung von Asustor zu warten. Die Besitzer spekulieren, dass DeadBolt über das EZ-Connect-Dienstprogramm von Asustor, mit dem Benutzer von überall auf der Welt eine Verbindung zu ihren NAS-Systemen herstellen können, Zugriff erhalten hat. Komisch ist, dass sogar die Live-Demo von ADM(öffnet in neuem Tab) (Asustor Data Master), dem Betriebssystem für Asustor NAS-Geräte, nicht von DeadBolt gespeichert wurde.
Es ist nicht bekannt, ob alle Asustor NAS-Geräte für die DeadBolt-Attacke anfällig sind, da es Rückmeldungen von Anwendern gibt, dass einige Modelle, wie das AS6602T, AS-6210T-4K, AS5304T, AS6102T oder AS5304T, nicht infiziert sind. Zu den betroffenen Modellen gehören der AS5304T, der AS6404T, der AS5104T und der AS7004T.
Nehmen wir an, Sie sind einer der glücklichen Besitzer, die nicht infiziert wurden. In diesem Fall empfiehlt ein Redditor, einige vorbeugende Maßnahmen zu ergreifen, z. B. EZ Connect, automatische Updates und SSH zu deaktivieren, alle NAS-Ports am Router zu sperren und nur Verbindungen aus dem eigenen Netzwerk zuzulassen.
