Desconecta tu NAS ASUSTOR de Internet para no infectarte por este ransomware
Si tienes un servidor NAS de ASUSTOR conectado a Internet, podrías estar en peligro debido a la aparición de una nueva variante del popular ransomware Deadbolt. Aunque los servidores NAS están diseñados para acceder desde cualquier lugar a su información, debido a los últimos ataques de ransomware una de las mejores formas de acceder remotamente a ellos es utilizando única y exclusivamente una VPN, no dejando expuesto ningún otro puerto ni tampoco el puerto de la administración del servidor NAS. Si tienes un NAS de ASUSTOR, a continuación te explicamos qué ha pasado y qué deberías hacer para protegerte.
ASUSTOR avisa de un ataque de ransomware
El popular fabricante de servidores NAS ASUSTOR ha lanzado un aviso urgente a través de diferentes medios, incluyendo las redes sociales. Parece ser que en los últimos días el popular ransomware Deadbolt está atacando este tipo de dispositivos para hackearlos y encriptar todos los archivos de su interior, por lo que no podríamos recuperar la información, o al menos, será bastante complicado hacerlo.
De forma preventiva, el fabricante ha desactivado por completo los siguientes servicios con el objetivo de minimizar el número de usuarios que podrían infectarse:
- EZ-Connect
- EZ-Sync
- ezconnect.to
Todos estos servicios para el acceso remoto a los servidores NAS del fabricante se han desactivado hasta nuevo aviso, porque ahora mismo el fabricante está investigando el alcance de la vulnerabilidad que explota este ransomware para hackear el servidor NAS del fabricante. En un comunicado, ASUSTOR también recomienda realizar las típicas configuraciones básicas para proteger nuestro servidor NAS, estas recomendaciones son:
- Cambiar los puertos predeterminados del NAS por otros, tanto los puertos 8000 y 8001 así como los puertos 80 y 443.
- Desactivar EZ Connect hasta nuevo aviso.
- Realizar una copia de seguridad de todos los datos del servidor NAS a un almacenamiento externo, nunca en el mismo servidor NAS porque no serviría de nada ante una infección.
- Realizar una instantánea de los datos, aunque esto podría no funcionar en caso de infección, porque el ransomware también podría eliminar estas instantáneas
- Desconectar los servicios de SSH o SFTP entre otros que sean accesibles desde el exterior. Si necesitas acceder al servidor NAS de forma remota, usa una VPN y posteriormente entras de forma local en los diferentes servicios.
En la web oficial de ASUSTOR tenéis un completo tutorial de cómo protegerte frente a ataques de ransomware.
¿Qué hago si ya estoy infectado?
Si has tenido la mala suerte de que este ransomware ha infectado tu servidor NAS y toda tu información está cifrada, el fabricante ASUSTOR recomienda realizar los siguientes pasos:
- Desconectar el cable Ethernet del servidor NAS, para dejarlo sin conexión a la red e Internet.
- Apagar el NAS de forma segura, presionando y manteniendo pulsado el botón de apagado durante 3 segundos.
- No iniciar el servidor NAS porque esto hará que tus datos continúen cifrándose y no podrás recuperarlo.
- Rellenar este cuestionario de Google donde los técnicos de ASUSTOR contactarán con nosotros.
El fabricante ahora mismo se encuentra analizando este ataque y creando un procedimiento para la restauración completa del sistema y recuperar todos los datos, ya sea del backup o de los snapshots que tengamos en el sistema operativo. Por supuesto, el fabricante también lanzará una actualización lo antes posible para parchear la vulnerabilidad que explota este ransomware.
Algunos usuarios de Internet en Reddit y en otros foros han estado investigando y se puede parar la infección del ransomware «matando» el proceso en cuestión, podéis ver toda esta información adicional aquí:
Mark Schramm@MarkSchrammVR@ASUSTOR Weak sauce response. The community has already identified steps to shut down the process and prevent any further encryption.
Your suggestion of «Make an immediate backup» while having the process run for several more hours will lead to people loosing more data than necessary. 1/222 de febrero, 2022 • 08:24
5
0
Para realizar este proceso, es necesario entrar vía SSH como root y ejecutar una serie de comandos, después hay que restaurar el acceso vía web porque se queda inhabilitado.
Hay que tener en cuenta que, hasta que nos demos cuenta que nos estamos infectando, muchos de nuestros archivos los perderemos, por lo tanto, es fundamental tomar medidas preventivas para evitar la infección, y la más importante es desconectarlo de Internet.