Le ransomware DeadBolt s’attaque aux NAS ASUSTOR

Après QNAP, le ransomware DeadBolt semble bien décidé à s'en prendre aux NAS de chez ASUSTOR. Le fabricant de NAS a émis un bulletin d'alerte à destination de ses clients. Que se passe-t-il ?

Comme les autres fabricants, ASUSTOR propose un système DDNS simple permettant d'accéder à son équipement à distance, et par extension à ses données. Chez ASUSTOR, on obtient une adresse avec l'extension "myasustor.com". Le ransomware DeadBolt semble utiliser ce système pour découvrir les NAS ASUSTOR et tenter de les compromettre afin de chiffrer les données. Le temps de l'investigation, ASUSTOR a pris la décision de désactiver son système DDNS "myasustor.com" (ainsi que "ezconnect.to") afin de protéger les NAS de ses clients. Même si cette décision est radicale, elle a le mérite de couper l'accès au NAS à partir du nom de domaine.

En complément, ASUSTOR recommande à ses clients d'effectuer les actions suivantes afin de sécuriser leur NAS :

  • Ne pas utiliser les ports par défaut pour accéder à l'interface de gestion de son NAS (par défaut les ports 8000 et 8001 sont utilisés pour HTTP et HTTPS)
  • Désactiver l'accès facile à distance et correspondant à la fonction EZ Connect
  • Désactiver les services SSH et SFTP
  • Réaliser une sauvegarde immédiate de vos données

Quand le fabricant vous demande de réaliser une sauvegarde immédiate de vos données, ce n'est pas très rassurant, mais c'est préférable. En tout cas, sachez que si votre NAS n'est pas accessible depuis Internet, vous ne risquez rien avec les attaques DeadBolt. Pour le moment, nous ne savons pas quelle est la vulnérabilité exploitée par DeadBolt ou s'il s'appuie sur une attaque de type brute force, par exemple.

Si vous pensez que votre NAS est victime du ransomware DeadBolt, vous pouvez informer ASUSTOR en complétant le formulaire suivant : Google Docs - ASUSTOR - DeadBolt.

Pour rappel, le mois dernier le ransomware DeadBolt a chiffré plusieurs milliers de NAS QNAP. Le montant de la rançon était de 0,03 bitcoin, ce qui correspond à près de 1 000 euros, et ce montant semble le même sur les NAS ASUSTOR compromis.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

2 thoughts on “Le ransomware DeadBolt s’attaque aux NAS ASUSTOR

  • Merci pour cet article! Faisant partie des utilisateurs infectés, je souhaite vous demander conseil.
    Comme beaucoup le NAS était mon backup. J’ai perdu beaucoup de données importantes.
    Je préfère payer que tout perdre. Pensez-vous qu’en payant on récupère vraiment ses données ?
    Merci

    Répondre
    • Je fais également parti des utilisateurs infectés ! as tu payé @Larryc ?

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.