Ransomware: DeadBolt verschlüsselt auch NAS-Systeme von Asustor

Ende Januar schlug die Ransomware DeadBolt auf NAS-Systemen von QNAP zu. Das Unternehmen forderte Nutzer auf, die Systeme vom Internet zu trennen, bevor die Dateien verschlüsselt werden. Nun greift DeadBolt auch NAS-Systeme von Asustor an und verschlüsselt die Laufwerke der Nutzer, wenn das NAS über das Internet erreichbar ist.

Zugriff übers Internet umgehend deaktivieren

Asustor hat Nutzer per E-Mail auf die Gefahr von DeadBolt aufmerksam gemacht und den DDNS-Dienst myasustor.com zunächst deaktiviert, solange die Untersuchungen andauern. Das Unternehmen sichert Betroffenen Unterstützung zu, unklar bleibt wie diese bei einem durch DeadBolt verschlüsselten NAS aussehen soll. Man wolle neue Informationen mit Nutzern teilen, sobald diese vorlägen, und sicherstellen, dass so etwas künftig nicht mehr passieren könne.

Sofort ein Backup des NAS erstellen

Um bis zur Schließung der Sicherheitslücke nicht Opfer von DeadBolt zu werden, empfiehlt Asustor allen Nutzern, umgehend alle Standardports zu ändern, etwa Port 8000 und 8001 für den Web-Zugriff und Port 80 und 443 für Webserver. EZ Connect soll ebenso wie SSH-, Terminal- und SFTP-Zugriff deaktiviert werden. Zudem solle umgehend ein vollständiges Backup des NAS-Systems angelegt werden, um nicht alle Dateien durch ein verschlüsseltes NAS zu verlieren. Eine weitere Hilfestellung hält ein kleiner Leitfaden von Asustor bereit.

Asustor will bei erfolgter Verschlüsselung helfen

Sollte das eigene Asustor-NAS bereits mit DeadBolt verschlüsselt worden sein, sollen folgende Schritte befolgt werden:

1. Ethernet-Kabel entfernen
2. NAS herunterfahren, indem der Power-Knopf gedrückt gehalten wird
3. Das NAS nicht neu initialisieren, da dadurch alle Daten gelöscht werden
4. Asustor für weitere Informationen und Hilfe kontaktieren, indem das Google-Doc ausgefüllt wird. Mitarbeiter werden sich laut Asustor dann so schnell wie möglich mit den Nutzern in Verbindung setzen.

Freikaufen gegen Bitcoin

Erneut haben die Angreifer Asustor auch die Option angeboten, sich gegen eine Zahlung von Bitcoin mit einem Master-Key freizukaufen, der alle NAS-Systeme von betroffenen Nutzern wieder entschlüsselt. Jedem einzelnen Nutzer wird zudem wie bei QNAP angezeigt, seine Dateien gegen eine Zahlung von 0,03 Bitcoin freikaufen zu können. Der angezeigte Hinweis, den Nutzer sehen, wenn sie sich mit ihrem verschlüsselten Asustor-NAS verbinden, gleicht dem von befallenen QNAP-NAS.

X

An dieser Stelle steht ein externer Inhalt von X, der den Artikel ergänzt und von der Redaktion empfohlen wird. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

X-Embeds laden

Ich bin damit einverstanden, dass X-Embeds geladen werden. Dabei können personen­bezogene Daten an X übermittelt werden. Mehr dazu in der Datenschutzerklärung.

AVISO - Se ha detectado ataque por el ransomware #deadbolt en las últimas horas. Se recomienda encarecidamente desconectar de inmediato de la red cualquier NAS @ASUSTOR con acceso externo (sin la debida protección VPN), ya sea mediante EZ-Router o EZ-Connect, hasta nuevo aviso. pic.twitter.com/5R1zs6ujtl

— ASUSTOR Spain (@AsustoRes) February 21, 2022

X-Embeds laden Datenschutzerklärung

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik