Warning — Deadbolt Ransomware Targeting ASUSTOR NAS Devices
2022/02/24 TheHackerNews — QNAP NAS アプライアンスが攻撃を受けてから1カ月足らずで、ASUSTOR の NAS が Deadbolt ランサムウェアの最新の犠牲者となった。この感染に対して ASUSTOR は、関連するセキュリティ問題を修正するためのファームウェア・アップデート (ADM 4.0.4.RQO2) をリリースしている。また、同社は、データを安全に保つために、以下の行動を取るようユーザーに呼びかけている。
- パスワードの変更。
- 強力なパスワードの使用。
- HTTP/HTTPS のデフォルト・ポートを変更する。デフォルトのポートは、それぞれ 8000 と 8001 である。
- Web サーバーのポートを変更する。デフォルトのポートは 80 と 443 である。
- Terminal/SSH/SFTP ターミナルなどの、使用しないサービスをオフにする。
- 定期的にバックアップを取り、バックアップが最新であることを確認する。
この攻撃は主に、AS5104T/AS5304T/AS6404T/AS7004T/AS5202T/AS6302T/AS1104T などの、ADM オペレーティング・システムを実行し、インターネットに露出している ASUSTOR NAS モデルが対象だ、それらに限定されるものではない。
QNAP NAS デバイスを標的とした侵入と同様に、脅威アクターはゼロデイ脆弱性を悪用して ASUSTOR NAS デバイスを暗号化し、アクセスを回復するためには 0.03 Bitcoins (~$1,150) が必要だと、被害者に対して要求している。
このランサムウェア・オペレーターは、ASUSTOR 向けの別のメッセージで、同社が7.5 BTC を支払えば欠陥の詳細を共有し、それに加えて 50BTC を支払えば、ユニバーサル復号キーを販売する用意があると述べている。
この攻撃で悪用された、セキュリティ脆弱性の正確な詳細は不明だが、対象となる NAS デバイスへのリモートアクセスを可能にする、EZ Connect 機能の欠陥に関連していることが疑われ、同社は予防策として同機能を無効にするよう促しているとのことだ。
すでに、NAS デバイスがランサムウェアに感染しているユーザーは、以下の手順の実行が推奨されている。 - イーサネット・ネットワーク・ケーブルを抜く。
- 電源ボタンを3秒間長押して、NAS を安全にシャットダウンする。
- データが消去されるため、NAS は初期化しない。
- このフォームに必要事項を記入してほしい。
ASUSTOR とは、ASUS の子会社で、中小企業向けの NAS ラインナップを提供する企業のようです。この分野では、QNAP と Synology が有名ですが、そこに ASUSTOR が参戦してきたという状況なのでしょうか? 1月26日に「QNAP 警告:新たな DeadBolt ランサムウェアが NAS デバイスを暗号化」をポストしましたが、これらの NAS への攻撃は、昨年からずっと続いているようです。よろしければ、QNAP で検索と Synology で検索も、ご利用ください。