Verschillende eigenaren van een D-Link DNS-320 NAS zijn getroffen door ransomware die allerlei bestanden op het apparaat versleutelt. Hoe de NAS-systemen besmet konden raken is op dit moment nog onbekend, maar vermoedelijk maken de aanvallers gebruik van kwetsbaarheden in de firmware.

Sommige gebruikers die door de “Cr1ptT0r-ransomware” werden getroffen bevestigden dat ze verouderde firmware gebruikten en het apparaat op internet was aangesloten. In 2012 werd er een kwetsbaarheid in de DNS-320 gevonden waardoor een aanvaller op afstand code op de NAS-systemen kan uitvoeren. De DNS-320 NAS wordt inmiddels niet meer door D-Link aangeboden en de laatste firmware-update dateert van 2016.

Vorig jaar werd bekend dat er in oudere firmwareversies van de DNS-320L ShareCenter een hardcoded backdoor aanwezig is waardoor een aanvaller beheerderstoegang kan krijgen. Voor het ontsleutelen van alle bestanden moeten slachtoffers zo’n 1200 dollar betalen. Het is ook mogelijk om een enkel bestand te ontsleutelen, waarvoor 20 dollar moet worden betaald. Gebruikers moeten in dit geval het versleutelde bestand naar de aanvallers sturen, waarna het ontsleutelde bestand wordt teruggestuurd, zo meldt Bleeping Computer.