Ransomware Deadbolt befällt Asustor-NAS
Die Deadbolt-Ransomware befällt nach Qnap-NAS jetzt Asustor-NAS-Geräte. Ein Firmware-Update des Herstellers schließt die missbrauchte Sicherheitslücke.
(Bild: Foxeel,Shutterstock.com)
Nachdem Cyberkriminelle zunächst Qnap-Netzwerkspeichersysteme angegriffen haben, nehmen sie nun NAS-Speicher von der Asus-Tochter Asustor ins Visier. Darauf installieren sie die Ransomware Deadbolt und versuchen damit, eine Lösegeldsumme von ihren Opfern zu erpressen. Der Hersteller hat mit Firmware-Updates reagiert und den DynDNS-Dienst myasustor.com temporär deaktiviert.
Der Hersteller Asustor gibt in einer Meldung Hinweise, wie Administratoren Einbrüche in das NAS und anschließende Infektionen allgemein erschweren können: Sie sollten die Standard-Ports des NAS ändern, insbesondere die Webzugänge auf Port 8000 und 8001 sowie die Fernzugänge auf Port 80 und 443. EZ-Connect sollten sie ebenfalls deaktivieren, wie auch ungenutzte Dienste sowie Terminal/SSH und SFTP. Schließlich soll ein Backup vor den schlimmsten Folgen eines Befalls schützen. Allerdings dienen solche NAS meistens selber als Backup-Laufwerke – das Backup-Konzept sollte daher gegebenenfalls um eine Ebene ausgeweitet werden.
Bei einem erkannten Befall sollten betroffene Administratoren das Netzwerkkabel ziehen, rät Asustor, und das NAS durch Drücken des Netzschalters für drei Sekunden sicher Herunterfahren – und keinesfalls wieder einschalten, da dies die Daten löschen würde. Anschließend sollen sie ein Formular ausfüllen und damit den Asustor-Support kontaktieren.
Firmware-Updates
Asustor hat zügig mit Firmwareupdates reagiert. Für die betroffenen NAS-Geräte AS10, 31, 32, 40, 50, 51, 61, 62, 63, 64, 70, Nimbustor, Drivestor, Drivestor Pro, Lockerstor und Lockerstor Pro steht Version ADM 4.0.4.RQO2 zum Download bereit. Für Geräte der Linien AS-20, AS-30 und AS-60 fehlen der 4.0er-Firmware Treiber. Daher stellt Asustor für diese NAS-Geräte Version ADM 3.5.9.RQO2 zum Herunterladen und Installieren zur Verfügung.
Zusätzlich zu den obigen Sicherheitshinweisen ergänzt der Hersteller, dass Nutzer das Passwort ändern und ein starkes verwenden sollten. Die Rückkehr zu älterer Firmware ist nach der Aktualisierung nicht mehr möglich. Bei der 4.0er-Version erhöht sich nach dem Neustart die CPU-Last kurzzeitig, da Thumbnails neu erstellt werden. Der Hersteller erläutert die mit der aktualisierten Firmware geschlossenen Sicherheitslücken allerdings nicht.
Ein zügiges Installieren der Updates ist aufgrund der Bedrohungslage Administratoren anzuraten.
Offenbar haben die Aktualisierungen für Qnap-NAS die gewünschte Wirkung erzielt. Die Drahtzieher hinter der Deadbolt-Ransomware mussten daher auf Geräte anderer Hersteller ausweichen, um ihr kriminelles Geschätsmodell aufrechtzuerhalten. Auch hier haben digitale Viren mit denen in der echten Welt etwas gemein – sie reagieren mit Escape-Varianten auf erfolgreichen Schutz oder springen von Spezies zu Spezies weiter.
(dmk)
