Durante este mes de febrero, diferentes propietarios de una NAS de la marca Asustor han comunicado a través de la conocida Red Social Reddit, y los propios foros oficiales de Asustor, que han sido víctimas de un nuevo ataque de ransomware, en esta ocasión el conocido con el nombre de DeadBolt (Cerrojo muerto). Al parecer, DeadBolt ha merodeado libremente durante bastante tiempo, infectando todos los sistemas NAS que se encontraban conectados a Internet y desprotegidos. Si recordais nuestro post sobre los dispositivos QNAP, estos fueron uno de sus objetivos anteriores, y ahora se han centrado en los de Asustor.
Desde sus inicios, el ransomware DeadBolt ha mantenido un modus operandi similar: se infiltra por control remoto en la NAS de la víctima, cifrando la información que dispone, y pidiendo un rescate por poder recuperarla, que normalmente se establece mediante un pago en bitcoins. El ciberdelincuente envía una dirección distinta a cada «secuestrado», y una vez recibe en ellas los bitcoin, les envía las claves para poder descifrar los archivos de su propia NAS. La cantidad que han solicitado para los rescates es de 0,03 bitcoins, lo que equivale a día de hoy a 960 euros. Casualmente, es la misma cantidad con la que extorsionaron a las víctimas de los QNAP. En el caso de QNAP, los cibercriminales intentaron llegar a un acuerdo con el fabricante de la NAS, ofreciéndoles compartir los detalles de vulnerabildiad de su empresa por cinco bitcoins, el equivalente a 160.100 euros, o incluso facilitarles la clave maestra por 50 BTC, o lo que es lo mismo: 1,622 millones de euros.
Desde Metafrase recomendamos a todos los usuarios de Asustor que estén sincronizando sus archivos de datos desde su propia NAS a un servicio en la nube como el OneDrive de Microsoft o el Google Drive, que corten el vínculo lo antes posible, es decir, que realicen la copia offline o sin conexión, para evitar que DeadBolt pueda secuestrar sus datos. Según un usuario de Reddit ha comentado en las redes sociales, su sistema ya infectado envió sus datos a OneDrive y Google Drive, pudiendo recuperar los de la nube de Microsoft, pero sin tanta fortuna con el cloud de Google.
En Metafrase utilizamos las NAS de Synolgy, las cuales han demostrado ser unas de las mejores del mercado por su gran fiabilidad y seguridad a la hora de proteger a sus usuarios frente a ataques maliciosos.
Según los propios usuarios de la NAS de Asustor, Deadbolt tuvo acceso a sus equipos a través de la utilidad EZ Connect de la propia Asustor, que sirve para que los usuarios puedan conectarse a su NAS desde cualquier parte del mundo con acceso a internet. Es por ello, que desde Metafrase recomendamos siempre contratar un servicio de actualización y mantenimiento del software que se contrata, pues la seguridad de nuestros archivos puede verse seriamente comprometida.
Todavía se desconoce si todos los dispositivos de Asustor son susceptibles de ser atacados por DeadBolt, y la propia compañía no se ha pronunciado al respecto aún, si bien hay casos confirmados por usuarios sobre los AS6404T, AS5104T, AS7004T y el AS5304T.
Algunas de las medidas más efectivas para evitar una posible infección por DeadBolt, en el caso de que Usted no haya sido víctima del Ransomware es deshabilitar el comando EZ Connect, las actualizaciones automáticas, bloquear todos los puertos NAS del router y permitir exclusivamente conexiones de red local. Con estas actuaciones, aumentará sensiblemente la seguridad en su Sistema.
