[Alerte] Asustor à nouveau victime de Deadbolt

Nous prédisions une année 2022 riche en actualité autour de la sécurité, nous ne pensions pas que cela serait autant vrai pour nos NAS. Après une première vague d’attaque Deadbolt en février, il semble que les boîtiers ASUSTOR soient à nouveau victime d’une nouvelle salve d’attaques. L’objectif pour les pirates est simple, d’accéder au NAS pour ensuite chiffrer les données (encrypter) et demander une rançon…

Deadbolt : le retour (bis)

Deadbolt est un malware de type ransomware (rançongiciel). Exploitant une faille de sécurité, l’attaquant s’infiltre sur le NAS de sa victime, puis y dépose son logiciel malveillant. Ce dernier commence immédiatement son travail en chiffrant les fichiers et demande une rançon en bitcoin. Sans le paiement de cette dernière, il est quasiment impossible de retrouver ses données. Une fois qu’il a commencé son travail, Deadbolt est très difficile à stopper.

Deadbolt a fait son apparition en début d’année en ciblant QNAP. En février, ce sont les utilisateurs de NAS Asustor qui en étaient victimes, puis  TerraMaster. On aurait pu penser que ces épisodes étaient derrière nous… sauf que Deadbolt a refait surface chez QNAP en mai dernier. Selon les éléments recueillis, les victimes étaient des NAS non mis à jour et accessibles depuis Internet. Un mois après, comme pour la première vague, les NAS ASUSTOR sont la cible de cette dernière version.

En regardant de près, il s’agit du même message Deabolt v2 que pour QNAP. Les attaquants demandent la même somme à payer pour récupérer les fichiers 0,03 bitcoin (environ 800€) et la même adresse en destination. Encore une fois, nous recommandons de NE PAYEZ PAS LA RANÇON. Cela encourage ce type d’attaque et vous n’avez aucune garantie de recevoir la clé pour récupérer vos données. Dans ce message, les malfaiteurs proposent au fabricant d’obtenir la clé maître afin de déverrouiller toutes les victimes ou encore de comprendre quelles failles ont été exploitées. Dans les 2 cas, les rançons sont très importantes !

Selon les premiers éléments fournis par le représentant d’Asustor France, les victimes seraient des utilisateurs qui n’auraient pas appliqué les règles et recommandation de sécurité transmises par le fabricant (et/ou qui n’auraient pas mis à jour leur NAS).

Sauvegarde, sauvegarde et sauvegarde

La meilleure arme dans ce genre de situation (tous ransomwares confondus), c’est d’avoir plusieurs sauvegardes de vos fichiers (disque dur, clé USB, Cloud, NAS). Pour rappel, le RAID n’est pas une sauvegarde et ne vous protège pas dans ce genre d’attaque. Si le NAS peut protéger avec une copie de vos fichiers, il ne doit pas utilisé seul.

Sauvegarde et règle 3 – 2 – 1

En entreprise mais aussi à la maison, il est important de mettre en place une stratégie de sauvegarde. Il existe une règle que l’on appelle 3 – 2 – 1. Dans le détail, il s’agit d’avoir :

  • au moins 3 copies des données ;
  • sur 2 supports différents ;
  • dont 1 sauvegarde hors site.

Nous réactualiserons cet article au fil du temps pour vous tenir informé…

  1. Pour ma part, les mises à jour étaient bien faites régulièrement. Hélas, mon NAS a quand même été attaqué.
    A quand une action de groupe pour se retourner vers les fabricants qui laissent viviblement des failles de sécurité sur leurs systèmes ???

    1. Cher Monsieur,

      même si je suis navré de ce qui vous arrive, le fait d’avoir un NAS à jour ne dispense pas de suivre les préconisations de sécurité,(sauvegarde 3-2-1, changer les ports http et https par défaut comme indiqué sur la page au démarrage lors d’une précédente mise à jour etc etc ) dispensées par le constructeur et reprises régulièrement dans des newsletters, les communiqués de presse, notre documentation https://www.asustor.com/fr/online/College_topic?to... et par Cachem

      bonne soirée
      Cordialement

      1. Bonjour Damien et meci pour votre réponse,
        Je trouve pourtant celle-ci étonnante. En effet, il me semble surprenant que vous fassiez porter la responsabilité de ces attaques sur vos clients.
        D’autant plus que, si j’ai bien lu, vos serveurs NAS avaient déjà été victimes d’une attaque en Mars 2021 par le même trojan. Pourtant, je n’ai reçu de votre part aucune alerte par mail ou autre m’invitant à faire une sauvegarde ou me déconnecter du réseau lors de ces deux attaques…
        Trouvez-vous normal :
        1) de ne pas avoir apporté de correctifs lors de cette première attaque afin de nous protéger de la seconde ?
        2) d’attendre que le mal ai été fait pour retourner la responsabilité de ces failles sur vos client ?
        Moi, non 🙁
        Cordialement.
        Philippe

        1. Cher Philippe

          après investigations, nos clients qui ont suivi les préconisations, notamment de la popup/fenêtre qui se lance au démarrage, ne sont pas impactés.
          https://www.asustor.com/fr/online/College_topic?to...

          Nous ne sommes responsables ni de l’utilisation que font nos utilisateurs ni des attaques dont nos clients et nous-memes sommes victimes. En quoi pouvons-nous prévenir une attaque dont nous avons donné toutes les clés pour l’éviter? voir mon lien ci-dessus, voir la fenêtre au démarrage d’ADM, voir ce que dit DR ASUSTOR qui, si vous l’exécutez, vous préconise de faire des sauvegardes.

          Je fais de la pédagogie et Cachem (toutes marques confondues) également depuis des années. ASUSTOR et moi même ne pouvons pas prendre chaque ordinateur et imposer aux gens de faire des sauvegardes alors que nous répétons (voir nos dernières newsletters etc) de faire des sauvegardes. Un RAID n’est pas une sauvegarde et il convient de suivre les préconisations de sécurité. A défaut, notre responsabilité ne peut pas être engagée.

          bonne journée
          cordialement

          1. Je vois que vous restez sur votre position de rejet de responsabilité sans répondre pour autant à mes interrogations.
            Je vais donc me tourner vers la justice et voir si elle aura la même interprétation que vous.
            Cordialement.
            Philippe

    2. Cher Monsieur,

      je peux comprendre votre colère et/ou désarroi.

      Toutefois, je refuse que la faute soit jetée sur le fabriquant au vu de la campagne préventive et informative CONSEQUENTE et pluriannuelle de surcroît;

      a) je vous joins la page de type « popup » qui se lance au démarrage d’ADM, si vous l’avez mis à jour. Elle se lance à minima la première fois à la mise à jour et à chaque démarrage (si non désactivée par choix de l’utilisateur) https://www.dropbox.com/s/7tca4e6mvy4951a/ADM%20po...

      Nous avons également une fiche pédagogique qui est sur notre site web, et qui a été communiquée à maintes reprises depuis 2010. https://www.asustor.com/fr/online/College_topic?topic=353

      Nous avons communiqué également
      – via communiqués de presse (ex : https://www.asustor.com/fr/news/news_detail?id=22695 , – via newsletters (ex : dans l’avant-avant dernière de la pédagogie sur les sauvegardes 3-2-1 https://asustor.bmetrack.com/c/v?e=145468E&c=864EE&t=0&l=BEF7669C&email=8Fr6SHrIZue83DpIeOwQDQif8GG0Zxj9&fbclid=IwAR0DWuaebgwdwxFDM6VIGv-ZkeQL7nq1REcia5iTCyPoQN2Lo7AFxzdpCvc)
      – via les réseaux sociaux
      et je dois encore en oublier

      b) Regardez point 10 sur le site gouvernemental de l’ANSSI (Agence nationale de la sécurité des systèmes d’information)
      https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf .
      L’ANSSI préconise les sauvegardes. un RAID n’est pas une sauvegarde

      c) Pour joindre la Direction d’ASUSTOR Inc vous pouvez écrire à contact@asustor.com. Vous pouvez retrouver également ici nos coordonnées https://www.asustor.com/fr/about/contact_us

      bonne journée
      cordialement

      1. Alors pour mon cas, les port étaient changés et je ne suis pas en réseaux, c’est justement en faisant la mise à jour d’ADM que mon nas a été piraté !!!

    1. Peut être tout simplement parce que les attaques ne sont pas dirigées contre ladite marque?
      bonne journée
      cordialement

      1. J’hésite justement, en ce moment, à passer sur Asustor et je pense pas être un pro-synology.

        Mais au vu du nombres de personnes utilisant des NAS Synology, cette hypothèse me parait peu convaincante… et bizarrement, elle vas dans votre sens.

        La mienne est plutôt qu’ils essayent d’infecter le maximum de NAS pour récupérer la plus grande mise donc si rien n’est apparu sur Synology, c’est (pour moi) que leur OS ne doit pas être si facilement piratable.
        Et ça me fais chier, car comme Paradise, je râle sur l’évolution de leur hardware.

        1. les escrocs utilisent les ports par défaut.
          les ports par défaut de chaque constructeur sont connus

  2. C’est assez connu que QNAP et Asustor sont en retard niveau applicatif. Pour suppléer ce problème, ils offrent des avancées technologiques.

    C’est comme si tu avais une nouvelle marque de voiture qui permettrait de rouler à du 400km/h et de consommer 1l au 100km mais une fois atteint les 30km, le véhicule devient incontrolable à certain moment.

    je n’ose pas aller vers ces marques même si je maudis Synology de ne pas bouger assez vite au niveau du hardware.

    Les backup sont nécessaires et évident mais il n’est pas logique que l’OS des NAS des Asustor et QNAP soient à ce point des passoires.

    1. Cher Paradise,
      « Les backup sont nécessaires et évident mais il n’est pas logique que l’OS des NAS des Asustor et QNAP soient à ce point des passoires. »
      => vos propos sont purement et simplement gravement mensongers et diffamatoires
      Quand on ne sait pas de quoi en parle et ce qu’il en ressort, on s’abstient plutôt que nuire à l’image de marques.
      bonne journée

      1. Bonjour,

        L’argent reste de l’argent, je crois pas pas que les pirates avec leurs 0.03 bitcoin (qui est entrain de s’effondrer d’ailleurs…RIP) fasse de la sélection du client en fonction de la marque de leurs NAS mais se base plus sur la simplicité d’attaque… Même le grand méchant loup avait plus de facilités avec les maisons en paille et en bois que la maison en briques des 3 petits cochons…
        Je n’ai confiance avec aucune marque de NAS à 100%… Rien ne vaut une sauvegarde off-line, mais je dois bien avouer que certaines s’en sortent mieux que d’autres… malheureusement pour vous, dans la pyramide de Maslow… c’est les besoins physiologiques et sécuritaires qui priment sur les couches supérieures…

        1. bonsoir

          un NAS est un produit à manipuler en suivant les préconisations du constructeur comme un PC. Si c’est suivi pas de souci mais ça ne dispense pas de sauvegarde car un NAS, un RAID n’est pas une sauvegarde

          https://www.asustor.com/fr/online/College_topic?to...

          A savoir, pour votre information, qu’en France, 3 PME sur 3 ont déjà été confrontées à un rançongiciel. Les hôpitaux, universités etc. tous les systèmes d’exploitation sont concernés. c’est un vrai fléau / cauchemar

          bonne soirée

  3. Cher Damien
    Quand vous affirmez que seul les nas non mis à jour sont impactés c’est inexact ‘,j’ai fait les mises à en mai tant du nas que de la base de données et de php ce n’a pas empêché une attaque le 16 06 2020 ce qui m’a obligé a passé sur le serveur de secours
    Comme il est impossible d’accéder à la page de gestion on peut considérer que le nas est détruit et que les sauvegardes ne so.t d’aucune utilité à moins que vous n’ayez une solution pour passe outre il sera impossible de réinstaller la base de données
    Vous feriez beaucoup mieux de résoudre ces problèmes plutôt que d’accuser vous de négligences
    Pour ma part je vais remonter un autre serveur pour garantir la continuité de service mais je n’utiliserai pas un nas asustor

  4. Bonjour,

    Tous d’abord NUL ne peux ignorer la loi, celle-ci indique que chacun est responsable de sa propre sécurité.

    Ensuite une faiblesse dans un système d’information est lié à plusieurs facteur.

    Le facteur Humain: Mot de passe faible, pare-feu mal calibré
    Le facteur Logiciel : Logiciel pas à jour et donc exploitable.

    Il faut comprendre qu’a l’instant un équipement est mis sur la toile, le dit équipement est automatiquement attaqué par des ROBOTS.

    Le but des robots est de lancer des requêtes dans le but d’obtenir un maximum d’information (Ports ouvert, protocole utilisé, version, matériel, distribution etc)

    Ensuite en ayant ses informations, on trouve des exploits permettant de pirater le NAS.

    Supposons que le protocole Apache (Web: HTTP, HTTPS) est exposer pour un hébergement Web, un attaquant va avoir l’information APACHE version: X.X suivis du terme ASUSTOR.

    Imaginons que pour cette version à une faille d’élévation de droit permettent à un attaquant d’avoir les droits administrateurs.

    Ensuite il suffit d’envoyer un Virus (Ransomware) puis de le lancer.

    Le tour est jouer.

    ————————————————————————-
    La meilleur protection est l’anticipation, une sauvegarde à froid (Disque-dur débrancher) permettent de limiter la casse.

    ————————————————————————-

    Le plus compliquer est de protéger son infrastructure via différent outils.

    Un outils qui détecte les tentatives de piratage et bloque celle-ci pour empêcher la connexion de l’attaquant.
    Un outils de détection virale pour protéger contre les virus.
    Un outil Pare-feu qui limiteras les communications entre l’équipement et le réseau internet.
    Le cloisonnement des différents Systèmes. (NAS, VM, Conteneurs) ce qui augment la complexité de l’attaquant. (1 user / Système = Un casse tête pour le hacker)
    Un outils de journalisation qui permet de voir quel protocole est le plus attaqué et susceptible d’être piraté.

    Et pour finir la Sauvegarde.

    ————————————————————————-

    Pour ma part, je bloque tout les pays sauf la France, ce qui diminue le vecteur d’attaque, ensuite je passe en VPN pour l’accès à distance pour chiffrer les communications. (Type d’utilisation: Gestion à distance)
    Je n’expose que les ports qui nécessite un accès en ligne et me pose les bonnes questions.
    Ensuite un Reverse Proxy qui n’est pas ASUSTOR pour éviter que le protocole APACHE/PHP ne répondent au attaquant.
    L’objectif est de cacher le maximum d’information que les robots puissent obtenir.

    ————————————————————————-

    Je vous donne ce liens fort utile pour avoir une idée.
    – Aller sur le site http://www.mon-ip.com/... pour récupérer l’adresse WAN IPV4.
    – Taper sur le site suivant votre IP dans la recherche : https://www.shodan.io

    Vous pouvez taper comme mot clés: ASUSTOR, ASUS.

    HTTP/1.1 401 Unauthorized
    Server: nginx
    Date: Sun, 19 Jun 2022 20:33:51 GMT
    Content-Type: text/html; charset=utf-8
    Content-Length: 590
    Connection: close
    WWW-Authenticate: Basic realm="ASUSTOR WebDAV"

    « ASUSTOR WebDAV » permet à un attaquant par exemple de trouver tous les NAS sur la toile en utilisant un simple Outils de scan réseau.

    L’utilisation d’un Reverse Proxy qui est pas estampillé ASUSTOR est une bonne solution.

    Cordialement,
    Technicien Informatique
    MARC J.

    Forum: Drthrax74

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.