Deadbolt ransomware afecta a múltiples dispositivos NAS ASUSTOR

Los usuarios de los dispositivos NAS Asustor informaron que fueron víctimas de un ataque de ransomware DeadBolt. Dicho ransomware ha estado infectando sistemas NAS Asustor conectados a Internet de forma no protegida. El mismo ransomware ha atacado anteriormente a los dispositivos QNAP, tal como alertamos en una noticia anterior.

El ransomware ataca a la víctima de forma remota utilizando credenciales por defecto y protocolos de autenticación remota (SSH y SFTP). Una vez accedido al dispositivo el ransomware cifra la información solicitando un rescate en bitcoin. Cada víctima recibe una dirección de bitcoin única para enviar los fondos. Los atacantes afirman que una vez que se realice el pago, se enviará a la víctima la clave de descifrado para obtener los archivos en el dispositivo infectado.

Por el momento los modelos confirmados que son vulnerables a este ataque son:

NAS ASUSTOR AS6602T
NAS ASUSTOR AS-6210T-4K
NAS ASUSTOR AS5304T
NAS ASUSTOR AS6102T
NAS ASUSTOR AS5304T
NAS ASUSTOR AS6404T
NAS ASUSTOR AS5104T
NAS ASUSTOR AS7004T

Para la prevención de estos ataques se recomienda las siguientes acciones:

No utilizar los puertos predeterminados, incluidos los puertos de acceso web NAS predeterminados 8000 y 8001, así como los puertos de acceso web remoto 80 y 443.
Deshabilitar la opción EZ Connect.
Deshabilitar las actualizaciones automáticas.
Realizar copias de seguridad con regularidad.
Desactivar los servicios de Terminal/SSH y SFTP.
Bloquear todos los puertos NAS del router y solo permitir la comunicación en red LAN.
En caso de ser sumamente necesario exponer el dispositivo NAS a internet utilizar una VPN para su acceso.

En caso de ser víctima de este ataque se recomienda seguir la siguiente guía para la restauración de fabrica del dispositivo:

https://www.asustor.com/en-gb/online/College_topic?topic=353

Referencias: