NAS-Hersteller Asustor warnt vor Angriffen mit Ransomware Deadbolt

Stefan Beiersmann,
NAS (Bild: Asustor)

Eine neue Firmware für infizierte Geräte ist bereits in Arbeit. Asustor rät zur Deaktivierung bestimmter Dienste sowie zur Änderung voreingestellter Ports. Die Hintermänner von Deadbolt nutzen offenbar eine Zero-Day-Lücke für ihre Attacken.

Asustor hat eine Sicherheitswarnung veröffentlicht. Die Netzwerkspeicher des Herstellers sind demnach derzeit das Ziel von Angriffen mit der Ransomware Deadbolt. Das Unternehmen teilte zudem mit, dass vorübergehend der DDNS-Dienst myasustor.com abgeschaltet wurde.

Zuvor hatten Dutzende Nutzer auf Reddit und in anderen Internetforen über Infektionen mit der Deadbolt berichtet. Jack Lu, Marketing Manager bei Asustor, kündigte im Gespräch mit ZDNet.com die Veröffentlichung einer “Recovery Firmware für Supporttechniker” an. Sie soll es Nutzern ermöglichen, wieder auf ihre gehackten NAS-Geräte zuzugreifen. “Verschlüsselte Dateien können allerdings nicht wiederhergestellt werden, außer Nutzer haben ein Backup”, sagte Lu.

Darüber hinaus rät Asustor, unverzüglich die voreingestellten Ports 8000 und 8001 für den Webzugriff sowie die Ports 80 und 443 für den Remotezugang zu ändern. Nutzer sollten außerdem die Funktion EZ Connect abschalten und sofort eine Datensicherung ihres NAS erstellen. Asustor empfiehlt zudem, die Dienste Terminal, SSH und SFTP zu deaktivieren.

Auf seiner Website hält das Unternehmen weitere Informationen für Nutzer bereit, die weitere Unterstützung benötigen. Nutzer, deren Geräte bereits infiziert wurden, sollten die Netzwerkverbindung trennen und ihr NAS-Gerät ausschalten. Zudem steht Ihnen auf der Asustor-Website ein Kontaktformular für Betroffene zur Verfügung. Von einer Initialisierung infizierter NAS-Geräte rät Asustor indes ab, da dies zu einer Löschung jeglicher Daten führe.

Von Nutzern fordern die Deadbolt-Hintermänner offenbar ein Lösegeld von jeweils 0,03 Bitcoin. Eine an Asustor gerichtete Forderung verspricht indes einen Master-Entschlüsselungsschlüssel gegen Zahlung von 50 Bitcoin (etwa 1,9 Millionen Dollar). Für weitere 7,5 Bitcoin wollen die Cyberkriminellen zudem alle Details zu der von ihnen ausgenutzten Zero-Day-Sicherheitslücke offenlegen.

Zuletzt wurde die Deadbolt-Ransomware auch gegen NAS-Geräte von QNAP eingesetzt. Auch hier bedienten sich die Hacker einer zuvor nicht bekannten Schwachstelle. Von QNAP forderten sie 5 Bitcoins für Details zu der Anfälligkeit und 50 Bitcoins für einen Master-Schlüssel.

Betroffene Besitzer von Asustor-NAS-Geräten sollten unter Umständen ein Backup ihres infizierten NAS anfertigen, bevor sie eine neue Firmware aufspielen. Bei den Angriffen auf QNAP-Geräte stellte sich heraus, dass ein vom Hersteller bereitgestelltes Firmwareupdate die Lösegeldforderung der Erpresser löschte. Diese wird jedoch benötigt, um verschlüsselte Geräte mit einem “gekauften” Entschlüsselungsschlüssel wieder zu entschlüsseln. Auch ein von Emisoft angebotener Decryptor, mit dem sich Daten unter Umständen kostenlos entschlüsseln lassen, benötigt die ursprüngliche Lösegeldforderung.