Bien le bonjour,
Pour ma part le service Ez-Connect était désactivé, le service ssh uniquement accessible via le VPN (actif en PPTP) du serveur ou en lan. Le server web Apache, WebDAV idem.
Le panneau de configuration ASUSTOR était accessible via mon nom de domaine, et tout récemment j'ai ajouté le DDNS proposé par ASUSTOR pour mes utilisateurs. À savoir que chaque comptes bénéficiait d'un mot de passe de minimum 16 caractères, et que la double authentification était utilisé sur les comptes sensibles.
La seul explications logique est que le zéro day ce trouve dans l'API qu'expose nos Server ASUSTOR au web, pour communiquer avec les applications mobile, EzSync sur windows, etc.
Et par la même occasion qu'ASUSTOR à laissé passer une deuxième faille permettant au pirate de récupérer l'adresse/le domaine EZ des serveur de leurs clients et ou que leurs domaines "proxy" (myasustor.com, ezcon...) ont une sécurité qui liasse à desirer (pas de filtrage d'attack par IP avant redirection, etc.).
Sur mon serveur certaines données critiques ont pues êtres sauvegardées je venais d'ailleurs de terminer une nouvelle implémentation de Duplicati pour permettre aux client ASUSTOR de sauvegarder beaucoup plus facilement leurs données. Par la même occasion cela signifie que toutes mes données n'ont pas été sauvegarder (étant donné que j'ai migré de service de backup et sorti Duplicati V2.0).
Aillant beaucoup de travail actuellement, je n'ai ni le temps ni le plaisir de commencer a annalyser le fonctionnement du rancongiciel. J'attends donc de la part d'asustor une de ces trois choses :
- Une clé de décryptage ainsi qu'un patche ADM, ainsi qu'un partenariat fort avec un suite entivirus viable tel que Bitdefender/Kaspersky.
- Une méthodologie complète et détaillée d'un chercheur en Cyber. Sec. (Avec son identité) sur la façon de neutraliser de manier définitive le malware et restaurer ADM sans effet secondaire, tout en proposant un moyen de viable de récupérer les données non chiffrés. (A savoir que j'ai de la patience et qu'il ne me dérange pas d'attendre un futur outils de décryptage proposer par Kaspersky).
- Un remboursement complet, pour le serveur. Ainsi qu'un retrait des articles visiblement erronés sur les ransongiciels que propose actuellement ASUSTOR + l'embauche de chercheurs califiés.
Sans oublié qu'ils ont une maison mère forte, ils peuvent théoriquement ce donner bien plus que les moyens d'agir.
En attente de nouveautées,
Cordialement,
Jérémi N.