Depuis hier soir, des milliers de NAS ASUSTOR seraient victimes d’une attaque d’envergure : Deadbolt. Si ce nom vous est familier, c’est normal, ce malware a fait beaucoup parler de lui en ce début d’année chez QNAP. Le fabricant ASUSTOR recommande de débrancher le câble réseau (RJ45) et d’attendre les instructions. Surtout, ne redémarrez pas votre NAS…
ASUSTOR & DeadBolt
DeadBolt est un malware de type rançongiciel, ransomware en anglais. Un groupe de hackeurs malintentionnés exploiterait une ou plusieurs vulnérabilités sur les NAS ASUSTOR exposés sur Internet. On n’en sait pas beaucoup plus sur la méthode utilisée (faille zero-day ?) . Une fois entrés dans le NAS, les attaquants vont chiffrer les fichiers (encrypter) et demander une rançon en Bitcoin. L’attaque est malheureusement assez classique. Surtout, NE PAYEZ PAS LA RANÇON. Cela encouragerait ces attaques et vous n’avez aucune garantie de recevoir la clé pour déchiffrer vos données. Vous noterez que les attaquants ont cette fois encore laissé un message à l’attention du fabricant.
Tout semble avoir démarré hier, des membres du Forum des NAS ont alerté et Asustor France a donné les premières consignes : « Déconnectez les NAS du réseau. Otez les câbles Ethernet et autres dongles Wifi. Préparez vos sauvegardes. Ne redémarrez pas votre NAS, ne l’éteignez pas et bien sûr ne payez pas la rançon ». Difficile à dire si c’est la meilleure solution, si le NAS n’est pas encore victime de l’attaque, pas de souci. Mais si le processus de chiffrement a démarré, le réflexe d’arrêt du NAS peut sembler être une bonne solution pour stopper l’attaque. Malheureusement, c’est souvent trop tard, car dès le redémarrage… ce dernier se remet à sa tâche. Quoiqu’il en soit, le moment est important et le risque de voir disparaitre ses données est important.
[edit 14h] La communication officielle et son suivi sont sur ce fils…
Nos conseils
Si votre NAS est accessible depuis Internet (directement ou indirectement), coupez immédiatement tous les accès. Si vous ne savez pas, même chose : DÉSACTIVEZ TOUS LES ACCÈS à votre NAS depuis l’extérieur. Si votre NAS n’est pas accessible depuis l’extérieur, alors il y a peu de chance que vous soyez concerné… Cependant, nous vous recommandons de faire quelques contrôles : EZ-Connect, UPnP avec EZ-Routeur, DDNS… Aussi, sur votre routeur ou Box opérateur, assurez-vous qu’il n’y ait aucune redirection de port vers votre NAS.
Sauvegarde, sauvegarde et sauvegarde
Encore une fois, la meilleure arme dans ce genre de situation… c’est bien sûre d’avoir une autre sauvegarde de vos fichiers (disque dur, clé USB, Cloud). Le RAID n’est pas une sauvegarde et si le NAS peut faire office de support pour protéger une copie de vos fichiers… il ne doit pas être le seul.
Cet article sera réactualisé au fil des heures pour vous tenir informé…