QNAP Systems, basé à Taiwan, avertit les consommateurs et les organisations utilisant leurs appareils de stockage en réseau (NAS) d’une nouvelle campagne de ransomware DeadBolt.
Il semble également y avoir une nouvelle campagne ech0raix/QNAPCrypt en cours, selon diverses sources, bien que QNAP n’ait pas encore commenté cela.
Les appareils NAS sont des cibles idéales
Les appareils NAS sont principalement utilisés par les consommateurs et les petites et moyennes entreprises pour stocker, gérer et partager des fichiers et des sauvegardes. Cela en fait une cible tentante pour les criminels utilisant des rançongiciels et se livrant à des stratagèmes de double extorsion.
Étant donné que les appareils NAS sont souvent accessibles à distance via Internet, les criminels exploitent généralement les vulnérabilités des logiciels/micrologiciels ou les mots de passe des comptes d’administrateur par force brute pour y accéder, voler et chiffrer les fichiers qu’ils contiennent, puis demander une rançon pour les restaurer. . Parfois, ils sont compromis et équipés de cryptomineurs.
Les attaquants se concentrent généralement sur les appareils QNAP et Synology NAS, mais ceux d’autres fabricants (Western Digital, Seagate, Zyxel, etc.) sont également parfois ciblés.
DeadBolt et ech0raix ont encore frappé
« QNAP a récemment détecté une nouvelle campagne de ransomware DeadBolt. Selon les rapports des victimes jusqu’à présent, la campagne semble cibler les appareils NAS QNAP exécutant des versions obsolètes de QTS 4.x », la société a mis en garde vendredi et a promis de fournir de plus amples informations dès que possible.
QNAP conseille à tous les utilisateurs de mettre à jour le micrologiciel QTS ou QuTS hero des appareils vers la dernière version, mais note que les utilisateurs qui ont été touchés par DeadBolt doivent d’abord prendre la capture d’écran de la demande de rançon pour conserver le bitcoin puis mettez à niveau vers la dernière version du firmware.
L’application intégrée Malware Remover mettra automatiquement en quarantaine la note de rançon qui détourne la page de connexion, a expliqué la société, et a exhorté les utilisateurs à demander de l’aide s’ils veulent saisir une clé de déchiffrement reçue et ne peuvent pas trouver la note de rançon après la mise à jour du firmware.
« DeadBolt propose deux schémas de paiement différents : soit une victime paie pour une clé de déchiffrement, soit le fournisseur paie pour une clé principale de déchiffrement qui fonctionnerait théoriquement pour déchiffrer les données de toutes les victimes. Cependant, au moment d’écrire ces lignes, nous n’avons pas encore trouvé de preuve que le déchiffrement via une clé principale est possible », ont déclaré les chercheurs de Trend Micro noté plus tôt ce mois-ci.
Un autre élément intéressant est que les créateurs de DeadBolt ont automatisé le processus de livraison de la clé de déchiffrement.
« [Ils] ont créé une interface utilisateur Web capable de déchiffrer les données des victimes après le paiement de la rançon et la fourniture d’une clé de déchiffrement. Le champ OP_RETURN de la transaction blockchain fournit automatiquement la clé de décryptage à la victime une fois le paiement du ransomware est effectué. Il s’agit d’un processus unique dans lequel les victimes n’ont pas besoin de contacter les acteurs du rançongiciel. En fait, il n’y a aucun moyen de le faire », a expliqué Trend Micro.
Simultanément, des rapports d’utilisateurs et des exemples de soumissions sur la plate-forme ID Ransomware indiquent que les criminels utilisant le ransomware ech0raix ciblent à nouveau les appareils NAS QNAP, Bleeping Computer signalé, bien que le vecteur d’attaque soit encore inconnu.
Conseils d’atténuation des risques
En attendant plus d’informations sur la campagne ech0raix de QNAP, les utilisateurs doivent implémenter recommandations de sécurité précédemment fournies par l’entreprise et, en général, envisagez de mettre en œuvre ces meilleures pratiques pour améliorer la sécurité du NAS.
« Les logiciels obsolètes ou non entretenus sont aujourd’hui l’une des principales méthodes de compromission des périphériques NAS. Cela est particulièrement vrai pour les applications tierces qui peuvent être installées à partir de magasins communautaires ou d’Internet », déclare Trend Micro.
« Lors de l’installation de telles applications, il est recommandé d’être extrêmement prudent dès le début. Il est également recommandé aux utilisateurs de s’en tenir aux applications que le fournisseur de NAS a fournies et vérifiées, de n’activer que celles qui sont actuellement utilisées et de supprimer celles qui ne sont pas utilisées. »
