Όπως ακριβώς συνέβη με την επίθεση ransomware των συστημάτων NAS της εταιρείας QNAP, που είχε το ίδιο όνομα, πρόκειται για μία επίθεση κρυπτογράφησης απομακρυσμένης εντολής-pu#sh που αξιοποιεί μία σημαντική ευπάθεια στο λογισμικό του συστήματος για να κρυπτογραφήσει όλα τα δεδομένα που βρίσκονται αποθηκευμένα στο NAS, μολονότι αυτή τη φορά έχει προστεθεί και μία οθόνη μέσω της οποίας οι κυβερνοεγκληματίες ζητούν λύτρα 0,03 BTC για την αποκρυπτογράφηση των δεδομένων.
Στην οθόνη υπάρχει επίσης και ένα μήνυμα προς την ίδια την εταιρεία Asustor (όπως ακριβώς έγινε και στην περίπτωση της επίθεσης στα συστήματα NAS της QNAP) καθώς και έναν σύνδεσμο για την παροχή ενός master key αφού πρώτα πληρώσει τα λύτρα: «Όλοι οι πελάτες σας που επηρεάζονται αποτέλεσαν στόχο μέσω μίας ευπάθειας μηδενικής ημέρας στο προϊόν σας. Σας προσφέρουμε δύο επιλογές για τον μετριασμό της συγκεκριμένης (και της μελλοντικής) ζημιάς» γράφει το μήνυμα.
Επί του παρόντος, συλλέγονται ακόμα λεπτομέρειες για την επίθεση, καθώς προκύπτουν συνεχώς νέα στοιχεία. Αν έχετε στην κατοχή σας μία μονάδα NAS της Asustor, καλό θα ήταν πριν την ενεργοποιήσετε για να την ελέγξετε, να την αποσυνδέσετε από το Internet. Ανεξάρτητα από το αν έχετε ενεργοποιήσει την απομακρυσμένη πρόσβαση μέσω EZConnect ή όχι, προχωρήστε στον έλεγχο της συσκευής σας, αφού πρώτα την αποσυνδέσετε από το Internet. Επί του παρόντος, δεν υπάρχουν αρκετές πληροφορίες για να εξακριβώσουμε αν η επίθεση σχετίζεται με την περίπτωση μίας έκδοσης παλαιού firmware στην οποία ανακαλύφθηκε η ευπάθεια ή αν πρόκειται για κάποιο κενό ασφαλείας που ανακαλύφθηκε στο τρέχον firmware. Σε κάθε περίπτωση, επαναλαμβάνουμε, αποσυνδέστε το NAS σας από το Internet ωσότου υπάρξουν περισσότερες λεπτομέρειες για το θέμα, είτε στην ιστοσελίδα NASCompares, είτε σε αξιόπιστες ιστοσελίδες σαν το Bleeping Computer ή μέσω της ίδιας της Asustor.
Μόλις συνδεθείτε στο NAS σας (log-in), προχωρήστε σε έλεγχο των αρχείων καταγραφής δραστηριότητας/ συμβάντων (logs) και των διεργασιών (processes). Αν έχετε τη δυνατότητα να κρατήσετε αντίγραφα ασφαλείας (backup) των αρχείων σας στο NAS σε μία άλλη τοποθεσία, προχωρήστε άμεσα στη διαδικασία. Μην αντιγράψετε ωστόσο από πάνω από ένα παλαιότερο backup το νέο, εκτός και αν είστε 100% σίγουροι ότι δεν έχετε «χτυπηθεί» από το ransomware Deadbolt.
Αν έχετε πληγεί από την ευπάθεια, πιθανότατα δεν θα μπορείτε να συνδεθείτε εξ αποστάσεως με τα αρχεία/ φακέλους στο NAS σας. Ακόμα και αν μπορείτε, θα χρειαστεί να ελέγξετε αν μπορείτε να τα ανοίξετε ή αν έχουν κρυπτογραφηθεί (θα έχει αλλάξει ο τύπος του αρχείου ή/ και η κατάληξη τους). Δείτε παρακάτω μερικές μαρτυρίες χρηστών που προχώρησαν σε αναρτήσεις στο Reddit.
Το να «σκοτώσετε» οποιεσδήποτε διεργασίες στον task manager αποτελεί μία επιλογή, ωστόσο αυτή η κίνηση ενδέχεται να προκαλέσει βλάβη στα κρυπτογραφημένα αρχεία με αποτέλεσμα να καταστήσει αδύνατη οποιαδήποτε δυνατότητα ανάκτησης τους. Κάποιοι χρήστες επίσης που αφαίρεσαν άμεσα την τροφοδοσία του συστήματος ή προχώρησαν στην επανεκκίνηση του συστήματος τους διαπίστωσαν ότι τώρα ζητάει να πραγματοποιηθεί «reinitialization». Σε αυτή τη περίπτωση, μην προχωρήσετε σε κάτι τέτοιο. Τουλάχιστον όχι ακόμα.
Κάτι που πρέπει να έχετε στο νου σας αυτή τη στιγμή είναι ότι δεν είναι ακόμα σαφές αν α) το ransomware Deadbolt μπορεί να «σκοτωθεί» ως διεργασία συστήματος από το κέντρο ελέγχου Asustor (Asustor Control Center app) και β) αν η απενεργοποίηση του συστήματός σας κατά τη διάρκεια της επίθεσης του Deadbolt μπορεί να οδηγήσει στο να μην μπορούν να «σωθούν» τα δεδομένα σας καθώς η κρυπτογράφηση θα έχει ολοκληρωθεί κατά ένα μέρος. Επομένως, το καλύτερο που έχετε να κάνετε είναι να αποσυνδέσετε το NAS σας από το Internet (και μέσω EZConnect προς το παρόν) αλλά αν διαπιστώσετε ότι η χρήση του επεξεργαστή είναι ασυνήθιστα υψηλή ή δείτε τις ενδεικτικές λυχνίες LED των σκληρών σας δίσκων να κάνουν σαν «τρελές» τότε το πιθανότερο είναι ότι έχετε δεχτεί επίθεση.
Όπως αναφέραμε, μην προχωρήσετε στο «reinitialization» του NAS, ακόμα και αν σας ζητηθεί από το Asustor Control Center app (επειδή από περιέργεια ενεργοποιήσατε το NAS, κάτι που είναι φυσιολογικό, για να δείτε τι έχει συμβεί). Σε αυτή τη περίπτωση προχωρήστε στην απενεργοποίηση του NAS. Σε κάθε περίπτωση πάντως, αποσυνδέστε το NAS από το Internet και περιμένετε οδηγίες.
Ενημέρωση 10.45 - Η Asustor εξέδωσε ανακοίνωση στην οποια αναφέρει τα εξής:
Αναφορά σε κείμενοIn response to Deadbolt ransomware attacks affecting ASUSTOR devices, ASUSTOR EZ-Connect, ASUSTOR EZ Sync, and ezconnect.to will be disabled as the issue is investigated. For your protection, we recommend the following measures:
Change default ports, including the default NAS web access ports of 8000 and 8001 as well as remote web access ports of 80 and 443.
Disable EZ Connect.
Make an immediate backup.
Turn off Terminal/SSH and SFTP services.For more detailed security measures, please refer to the following link below:
https://www.asustor.com/en-gb/online/College_topic?topic=353If you find that your NAS has been affected by Deadbolt ransomware, please follow the steps listed below.
1. Unplug the Ethernet network cable
2. Safely shut down your NAS by pressing and holding the power button for three seconds.
3. Do not initialize your NAS as this will erase your data.
4. Fill out the form listed below. Our technicians will contact you as soon as possible.https://docs.google.com/forms/d/e/1FAIpQLScOwZCEitHGhiAeqNAbCPysxZS43bHOqGUK-bGX_mTfW_lG3A/viewform
ΣΧΟΛΙΑ (65)
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώραΔημοσίευση ως Επισκέπτης
· Αποσύνδεση