Nếu bạn đang sử dụng hệ thống NAS của ASUSTOR để lưu trữ và truy cập dữ liệu từ xa, hãy ngắt kết nối mạng của chúng càng nhanh càng tốt để bảo đảm an toàn. Đã có những người dùng báo lại trên Reddit cũng như diễn đàn ASUSTOR về việc hệ thống NAS của họ đã bị tấn công tống tiền, toàn bộ dữ liệu bị mã hóa. Vụ việc lần này cũng do DeadBolt ransomware gây ra, từng tấn công các thiết bị NAS do QNAP cung cấp hồi cuối tháng 4/2021.
Cách thức tấn công của DeadBolt cũng tương tự như các ransomware khác, mã độc lây nhiễm vào NAS của người dùng và tiến hành mã hóa toàn bộ dữ liệu, sau đó để lại thông điệp tống tiền, yêu cầu chuyển Bitcoin đến ví điện tử của tội phạm. Trước đây, người dùng QNAP NAS được yêu cầu trả 0.03 BTC (tương đương 1530 USD với trị giá BTC lúc đó là 51,000 USD), tuy nhiên có vẻ như kẻ xấu không có ý định lặp lại điều tương tự với khách hàng của ASUSTOR.
Thông điệp tống tiền trên ASUSTOR NAS yêu cầu chuyển đến 5 BTC (giá trị hiện tại khoảng 188,500 USD) để đổi lấy key mở khóa, hoặc 50 BTC (gần 1.9 triệu USD) để có được key chung cho toàn bộ người dùng bị tấn công. Có thể thấy lần này kẻ tấn công đã chĩa mũi dùi vào chính công ty cung cấp sản phẩm thay vì người dùng cá nhân, tạo áp lực buộc ASUSTOR phải đứng ra giải quyết vấn đề.
Cho đến hiện tại, ASUSTOR chưa đưa ra bất kỳ hướng dẫn nào cho người dùng bị ảnh hưởng bởi DeadBolt ramsomware, ngoài việc kêu gọi họ tắt nguồn và ngắt kết nối mạng cho đến khi bản sửa lỗi được phát hành (dù rằng sửa lỗi bằng cách gì vẫn chưa rõ, hay chỉ là bản vá lỗi thay vì phục hồi dữ liệu). Có suy đoán cho rằng tin tặc giành được quyền truy cập vào ASUSTOR NAS thông qua chính tiện ích EZ Connect.
Hiện chưa có danh sách chính thức về những mẫu NAS bị ảnh hưởng, tuy nhiên những người dùng bị nhiễm đã cùng chia sẻ với nhau trên các diễn đàn. Theo đó, các mẫu AS5304T, AS6204T, AS6404T, AS5104T và AS7004T đang bị ảnh hưởng, trong khi chưa có báo cáo lây nhiễm trên các mẫu AS5004T, AS6602T, AS-6210T-4K và AS6102T. Nếu bạn đang sử dụng bất kỳ mẫu ASUSTOR NAS nào cũng nên thực hiện các biện pháp an toàn ngay lập tức, gồm tắt tiện tích EZ Connect, tắt cập nhật tự động và SSH, chặn kết nối NAS ra Internet và chỉ cho phép truy cập trong mạng nội bộ.
Đối với những khách hàng sử dụng NAS có từ 2 khay đĩa trở lên và thiết lập RAID-1, có thể thực hiện theo hướng dẫn này để khôi phục dữ liệu với điều kiện yêu cầu là 1 chiếc máy tính chạy Linux.
Nguồn
Cách thức tấn công của DeadBolt cũng tương tự như các ransomware khác, mã độc lây nhiễm vào NAS của người dùng và tiến hành mã hóa toàn bộ dữ liệu, sau đó để lại thông điệp tống tiền, yêu cầu chuyển Bitcoin đến ví điện tử của tội phạm. Trước đây, người dùng QNAP NAS được yêu cầu trả 0.03 BTC (tương đương 1530 USD với trị giá BTC lúc đó là 51,000 USD), tuy nhiên có vẻ như kẻ xấu không có ý định lặp lại điều tương tự với khách hàng của ASUSTOR.
Thông điệp tống tiền trên ASUSTOR NAS yêu cầu chuyển đến 5 BTC (giá trị hiện tại khoảng 188,500 USD) để đổi lấy key mở khóa, hoặc 50 BTC (gần 1.9 triệu USD) để có được key chung cho toàn bộ người dùng bị tấn công. Có thể thấy lần này kẻ tấn công đã chĩa mũi dùi vào chính công ty cung cấp sản phẩm thay vì người dùng cá nhân, tạo áp lực buộc ASUSTOR phải đứng ra giải quyết vấn đề.
Cho đến hiện tại, ASUSTOR chưa đưa ra bất kỳ hướng dẫn nào cho người dùng bị ảnh hưởng bởi DeadBolt ramsomware, ngoài việc kêu gọi họ tắt nguồn và ngắt kết nối mạng cho đến khi bản sửa lỗi được phát hành (dù rằng sửa lỗi bằng cách gì vẫn chưa rõ, hay chỉ là bản vá lỗi thay vì phục hồi dữ liệu). Có suy đoán cho rằng tin tặc giành được quyền truy cập vào ASUSTOR NAS thông qua chính tiện ích EZ Connect.
Hiện chưa có danh sách chính thức về những mẫu NAS bị ảnh hưởng, tuy nhiên những người dùng bị nhiễm đã cùng chia sẻ với nhau trên các diễn đàn. Theo đó, các mẫu AS5304T, AS6204T, AS6404T, AS5104T và AS7004T đang bị ảnh hưởng, trong khi chưa có báo cáo lây nhiễm trên các mẫu AS5004T, AS6602T, AS-6210T-4K và AS6102T. Nếu bạn đang sử dụng bất kỳ mẫu ASUSTOR NAS nào cũng nên thực hiện các biện pháp an toàn ngay lập tức, gồm tắt tiện tích EZ Connect, tắt cập nhật tự động và SSH, chặn kết nối NAS ra Internet và chỉ cho phép truy cập trong mạng nội bộ.
Đối với những khách hàng sử dụng NAS có từ 2 khay đĩa trở lên và thiết lập RAID-1, có thể thực hiện theo hướng dẫn này để khôi phục dữ liệu với điều kiện yêu cầu là 1 chiếc máy tính chạy Linux.
Nguồn