Nous prédisions une année 2022 riche en actualité autour de la sécurité, nous ne pensions pas que cela serait autant vrai pour nos NAS. Après une première vague d’attaque Deadbolt en février, il semble que les boîtiers ASUSTOR soient à nouveau victime d’une nouvelle salve d’attaques. L’objectif pour les pirates est simple, d’accéder au NAS pour ensuite chiffrer les données (encrypter) et demander une rançon…
Deadbolt : le retour (bis)
Deadbolt est un malware de type ransomware (rançongiciel). Exploitant une faille de sécurité, l’attaquant s’infiltre sur le NAS de sa victime, puis y dépose son logiciel malveillant. Ce dernier commence immédiatement son travail en chiffrant les fichiers et demande une rançon en bitcoin. Sans le paiement de cette dernière, il est quasiment impossible de retrouver ses données. Une fois qu’il a commencé son travail, Deadbolt est très difficile à stopper.
Deadbolt a fait son apparition en début d’année en ciblant QNAP. En février, ce sont les utilisateurs de NAS Asustor qui en étaient victimes, puis TerraMaster. On aurait pu penser que ces épisodes étaient derrière nous… sauf que Deadbolt a refait surface chez QNAP en mai dernier. Selon les éléments recueillis, les victimes étaient des NAS non mis à jour et accessibles depuis Internet. Un mois après, comme pour la première vague, les NAS ASUSTOR sont la cible de cette dernière version.
En regardant de près, il s’agit du même message Deabolt v2 que pour QNAP. Les attaquants demandent la même somme à payer pour récupérer les fichiers 0,03 bitcoin (environ 800€) et la même adresse en destination. Encore une fois, nous recommandons de NE PAYEZ PAS LA RANÇON. Cela encourage ce type d’attaque et vous n’avez aucune garantie de recevoir la clé pour récupérer vos données. Dans ce message, les malfaiteurs proposent au fabricant d’obtenir la clé maître afin de déverrouiller toutes les victimes ou encore de comprendre quelles failles ont été exploitées. Dans les 2 cas, les rançons sont très importantes !
Selon les premiers éléments fournis par le représentant d’Asustor France, les victimes seraient des utilisateurs qui n’auraient pas appliqué les règles et recommandation de sécurité transmises par le fabricant (et/ou qui n’auraient pas mis à jour leur NAS).
Sauvegarde, sauvegarde et sauvegarde
La meilleure arme dans ce genre de situation (tous ransomwares confondus), c’est d’avoir plusieurs sauvegardes de vos fichiers (disque dur, clé USB, Cloud, NAS). Pour rappel, le RAID n’est pas une sauvegarde et ne vous protège pas dans ce genre d’attaque. Si le NAS peut protéger avec une copie de vos fichiers, il ne doit pas utilisé seul.
Sauvegarde et règle 3 – 2 – 1
En entreprise mais aussi à la maison, il est important de mettre en place une stratégie de sauvegarde. Il existe une règle que l’on appelle 3 – 2 – 1. Dans le détail, il s’agit d’avoir :
- au moins 3 copies des données ;
- sur 2 supports différents ;
- dont 1 sauvegarde hors site.
Nous réactualiserons cet article au fil du temps pour vous tenir informé…