Alerte QNAP : des attaques sont en cours (brute force et ransomware)

QNAP a envoyé un message à ses utilisateurs : plusieurs attaques sont en cours et la cible : ce sont les utilisateurs de NAS. Le fabricant ne donne aucune information précise sur la nature de l’attaque et ses conséquences. Le spectre de QLocker refait surface. Explications…

Alerte QNAP

QNAP a publié une déclaration de sécurité pour ses NAS. Des attaques par force brute et des ransomwares cibleraient massivement les NAS QNAP accessibles depuis Internet. Le fabricant recommande  d’utiliser le Conseiller de sécurité (Security Counselor) pour s’en assurer. Il indique « Le service d’administration système peut être directement accessible depuis une adresse IP externe via les protocoles suivants : HTTP » alors il y a un risque élevé. QNAP recommande de désactiver la fonction de redirection de port sur votre routeur/Box opérateur… et rendre ainsi inaccessible votre NAS depuis l’extérieur. Le fabricant ne donne pas plus d’explications, pour le moment.

Le spectre QLocker refait surface

Depuis quelques jours, certains membres du Forum des NAS se sont pleins que leurs fichiers avaient été chiffrés avec une extension 7z. Un fichier TXT demande de payer une somme (bitcoin) afin d’obtenir la clé de déchiffrement et donc leurs fichiers. Il s’agit vraisemblablement d’une nouvelle attaque QLocker que l’on pensait derrière nous. Cependant, les cas remontés sur le Forum provenaient de personne avec des NAS anciens et/ou non mis à jour, accessible depuis Internet.

Plus récemment, le YouTubeur Hardisk partageait son expérience sur Twitter. Son entreprise utilise un NAS QNAP pour partager notamment des rushs vidéo entre les employés. Le boîtier réseau a été entièrement chiffré avec une demande de rançon. Il indique « Notre NAS est fréquemment mis à jour, je ne comprend pas comment c’est arrivé… ». Il ajoute que malheureusement pour l’antivirus « il ne s’est rien passé, tout va bien ». De son analyse, il ne fait aucun doute : QLocker. Heureusement, il dispose d’une sauvegarde dans le Cloud chez Infomaniak, permettant de récupérer ses données. Il s’agit certainement du service Swiss Backup (environ 6,3€/mois pour 1 To).

Qu’est-ce que QLocker ?

QLocker est un logiciel malveillant de type ransomware s’appuyant sur une faille dans l’outil QNAP HBS (Hybrid Backup Sync). En avril 2021, une attaque majeure ciblait les NAS sur fabricant. QLocker compressait les données à l’aide de l’outil  7-Zip avec un mot de passe fort. Puis, les données saines étaient tout simplement effacées (même les instantanées/snapshots réputés non modifiables). Il ne restait sur le NAS que des fichiers .7z avec un fichier TXT. Ce dernier demandait une rançon à payer en bitcoin afin d’obtenir une clé de déchiffrement afin de récupérer les données. IL NE FAUT PAS PAYER LA RANÇON. Rapidement, QNAP a fourni une procédure pour stopper l’attaque (désactiver le NAS de l’extérieur dans un premier temps) et récupérer les données. L’objectif principal était bien sûr la récupération des fichiers, notamment pour ceux qui ne disposait par de sauvegarde.

Une première procédure avait été partagée sur le Forum des NAS par QNAP, puis dans un second temps, l’antivirus du fabricant Malware Remover avait été mis à jour pour désactiver QLocker et récupérer la clé de chiffrement. Enfin, QNAP avait développé un outil QRescue (récupération de fichiers effacés). Depuis le mois de mai 2021, on pensait cette histoire loin derrière nous. Il semble cependant que QLocker fasse de la résistance en utilisant une autre faille de sécurité (ou plusieurs).

Conseils de sécurité

Sauf à en avoir vraiment besoin, nous vous déconseillons d’ouvrir votre NAS à l’extérieur directement. Quelques recommandations sur votre routeur/box opérateur :

  • Désactiver le transfert automatique de ports (UPnP) ;
  • Ne paramétrer jamais votre NAS en DMZ ;
  • Activer le pare-feu (firewall) ;
  • Configurez manuellement la redirection de port.

Ensuite, sur votre NAS QNAP : 

  • Utilisez des mots de passe forts ;
  • Désactivez le compte admin ;
  • Désactivez l’UPnP sur le NAS également ;
  • Utilisez des connexions chiffrées/sécurisées comme HTTPS ;
  • Désactivez les services Telnet, SSH, le serveur web/ SQL lorsqu’ils ne sont pas utilisés ;
  • Changez les ports externes par défaut (côté Internet), par des ports personnalisés ;
  • Installez QuFirewall et limitez les adresses IP autorisées (à la région France par exemple) ;
  • Configurez l’authentification en 2 étapes si possible ;
  • Mettez à jour régulièrement le NAS et ses applications.

Aussi, il est possible de rendre accessible son NAS depuis Internet grâce à un VPN. Ce dernier sera installé sur un routeur (ou un autre périphérique) afin de rendre accessible le NAS QNAP à Internet à travers le VPN. Ainsi, votre boîtier réseau ne sera jamais exposé directement.

Enfin, on ne répétera jamais assez : pensez à faire des sauvegardes externes régulièrement (disque dur, cloud…). Ou mieux encore, mettez en place une stratégie de sauvegarde 3-2-1. 

Sauvegarde 3 – 2 – 1

Il existe une stratégie (règle d’or) pour protéger vos données importantes que l’on appelle sauvegarde 3 – 2 – 1 :

  • 3 copies d’un même fichier : une copie principale (ex. : le fichier sur votre PC) et deux sauvegardes ;
  • 2 supports différents : les deux sauvegardes peuvent être faites sur NAS, un disque externe, un service en ligne (cloud)… ;
  • 1 sauvegarde hors site :  une sauvegarde devra être dans un cloud ou sur un disque hors de votre domicile (au bureau, dans votre famille).

Nous vous encourageons à y réfléchir et surtout la mettre en place chez vous pour vos fichiers les plus importants (photos, documents, vidéos personnelles…). Ce serait dommage que tout disparaisse à la suite d’un incident : panne, piratage, vol, incendie… En informatique, le risque 0 n’existe pas, même cette stratégie de sauvegarde n’est pas infaillible.