Voici une nouvelle que nous préférions ne pas annoncer : « Deadbolt est de retour ». Plusieurs utilisateurs de NAS QNAP (et peut-être d’autres) seraient de nouveau la cible du malware Deadbolt : chiffrement des données et demande de rançon !
[Mises à jour en fin d’article]
Deadbolt : le retour
Début 2022, Deadbolt faisait son apparition. Ce rançongiciel (ransomware en anglais) cible les NAS. Il exploite une faille de sécurité et chiffre les données. Impossible de récupérer les fichiers présents dans le NAS sans la clé… Cette clé est à acheter auprès des pirates malveillants contre le paiement de la rançon : environ 1000 euros à l’époque (0,03 bitcoin).
Depuis 2 jours, sur les forums et réseaux sociaux, Deadbolt refait parler de lui dans une nouvelle version. Le processus est le même : exploitation d’une faille (0-day apparemment) pour s’installer sur le NAS, chiffrer les données et demander une rançon. Malgré la chute du bitcoin, les malfrats demandent toujours la même somme de 0,03 bitcoin (866€ aujourd’hui). Selon nos informations, les victimes seraient principalement des particuliers (généralement moins sécurisés) et le nombre de cas doublerait tous les jours.
Comme pour la première vague, l’équipe derrière le malware fait 2 propositions à QNAP. Contre un paiement de 5 bitcoins (142 945€), ils proposent de fournir le détail de la faille utilisée. Et pour 50 bitcoins (1 429 456€), ils fourniraient la clé maître permettant de déchiffrer tous les NAS ciblés.
Si vous n’êtes pas encore victime de Deadbolt v2, désactivez les accès au NAS depuis l’extérieur. Réglez votre routeur/Box pour qu’aucun port du NAS ne soit exposé directement sur Internet. Faites également attention à l’UPNP…
Asustor, Terramaster et Synology ?
Si vous disposez d’un NAS Asustor ou Terramaster, soyez vigilant également. Nous vous recommandons de désactiver les accès à votre NAS depuis l’extérieur… au moins temporairement. Souvenez-vous que pour la première vague, après QNAP, ces 2 constructeurs avaient également été la cible du malware. Si Synology avait été épargné à l’époque, nous vous recommandons d’être très vigilant avec cette deuxième vague.
Sauvegarde : la règle 3 – 2 – 1
Encore une fois, nous vous rappelons que la meilleure sécurité pour vos données, c’est les sauvegardes. Et pour cela, nous vous recommandons d’appliquer la règle 3 – 2 – 1 et d’avoir au minimum :
- 3 copies d’un même fichier : la copie principale du fichier et deux autres sauvegardes ;
- 2 supports différents : un NAS, un disque externe, un service en ligne (cloud)… ;
- 1 sauvegarde hors site : une sauvegarde devra être dans un cloud ou sur un disque hors de votre domicile/entreprise.
Malheureusement, personne n’est à l’abri. Il faut agir au plus vite avant qu’il ne soit trop tard. Il serait dommage que tout disparaisse à la suite d’un incident : panne, piratage, vol, incendie… Pour rappel, le risque 0 n’existe pas et même cette stratégie n’est pas infaillible.
Nous modifierons cet article au fur et à mesure des informations que nous collecterons.
[edit 19 mai] Selon les premiers éléments fournis par QNAP, il semblerait que les attaquants cibleraient que certaines gammes de NAS avec une ancienne version de QTS. Si vous disposez de la dernière version majeure QTS 5.x, vous ne devriez pas être pénalisés.